Tu administrador de la organización o el responsable de seguridad inicia el análisis. La evaluación de riesgos secreta revisa cada repositorio en tu organización. La evaluación de riesgos de seguridad del código examina hasta 20 repositorios que selecciones. GitHub te envía un correo cuando el informe está listo.

¿En qué medida está expuesta tu organización? Ejecuta una evaluación gratis para averiguarlo.
Las evaluaciones de riesgos de GitHub escanean tus repositorios para encontrar credenciales expuestas y vulnerabilidades de código, de manera que puedas evaluar hallazgos reales en tu propio entorno antes de decidir si vale la pena introducir los productos de seguridad de GitHub.

Evaluación de riesgos secreta
Detecta credenciales filtradas en todos los repositorios de tu organización. Consulta dónde viven, qué categorías aparecen con mayor frecuencia y cuántos casos se habrían evitado con la protección de push.
Evaluación de riesgos de seguridad del código
Examina hasta 20 de tus repositorios más activos. Consulta las vulnerabilidades por gravedad, regla e idioma, además de cuántas cumplen con los requisitos para una sugerencia de Copilot Autofix.
Qué verás en los resultados
Usa los resultados para informar a tu equipo, identifica los repositorios de mayor riesgo y decide si Secret Protection y Code Security merecen un lugar en tu pila.
Cómo funciona
Ejecuta la evaluación

Revisa los resultados
Abre las pestañas de Code Security y Secret Protection para ver los resultados de cada escaneo. La pestaña Secret Protection se va cargando a medida que los repositorios se procesan. La pestaña Code Security se completa al finalizar el escaneo.

Determina el siguiente paso
Los administradores de empresas que cumplan los requisitos pueden comenzar una prueba de GitHub Advanced Security directamente desde la evaluación de riesgos. Si no cumples con los requisitos para una prueba de autoservicio, puedes habilitar Secret Protection o Code Security directamente desde la evaluación o comunicarte con un experto de GitHub.

Tus repositorios Tus hallazgos Tu llamada
Prueba tu código actual
La mayoría de las evaluaciones de seguridad se basan en pruebas de rendimiento, demostraciones o tablas de cobertura. La evaluación analiza tus propios repositorios para que puedas evaluar los hallazgos según lo que los desarrolladores realmente envían.
Decide con pruebas, no con supuestos.
Consulta los hallazgos en tu propio entorno antes de decidir si los productos de seguridad de GitHub son apropiados.
Valida lo que está funcionando o identifica lo que no
Los resultados discretos te aportan pruebas de que tus prácticas actuales están funcionando. Los hallazgos específicos, como credenciales, vulnerabilidades o repositorios afectados, te ofrecen argumentos basados en datos para que pases a la acción.
Determina los hechos
Ejecuta la evaluación Revisa los resultados. Determina el siguiente paso
Preguntas frecuentes
¿Qué planes y roles de GitHub pueden ejecutar una evaluación de riesgos de seguridad?
Los propietarios de la organización y los gerentes de seguridad en GitHub Team o GitHub Enterprise Cloud. La evaluación de riesgos de seguridad del código se realiza en GitHub Enterprise Server 3.22.
¿Cuánto cuesta la evaluación de riesgos de seguridad de GitHub?
Nada. La evaluación es gratis, incluidos los minutos de GitHub Actions usados para ejecutar los escaneos de código. No te cobraremos por las licencias de GitHub Code Security o Secret Protection durante la evaluación.
¿Cuánto tiempo tarda una evaluación de riesgos de seguridad de GitHub en completarse?
La mayoría de los escaneos finalizan en un plazo de 30 minutos. Las organizaciones más grandes o complejas pueden tardar más tiempo. GitHub te envía un correo cuando el informe está listo. La pestaña Secret Protection se actualiza a medida que se escanean los repositorios; la pestaña Code Security se llena cuando el escaneo se completa.
¿Con qué frecuencia puedes ejecutar una evaluación de riesgos de seguridad de GitHub?
Cada 90 días. Puedes cambiar qué repositorios se examinan en cada evaluación.
¿Qué busca la evaluación de riesgos de seguridad de GitHub?
Secretos. GitHub revisa los repositorios de tu organización en busca de credenciales expuestas en patrones de proveedores y patrones genéricos. Código. GitHub escanea hasta 20 repositorios mediante CodeQL y, por defecto, les da prioridad a aquellos con mayor actividad de commit en los últimos 90 días. Puedes cambiar la selección antes de ejecutar el escaneo.
¿Ejecutar una evaluación de GitHub afectará mis datos existentes de code scanning?
No. La evaluación de riesgos usa una ruta de carga independiente y no modifica o interfiere en las alertas existentes de code scanning en tus repositorios.
¿Qué significa que la evaluación de riesgos de seguridad de GitHub no encuentre incidencias?
Es una buena señal. Tendrás pruebas de que tus prácticas de seguridad actuales detectan lo que realmente importa. Repite el proceso cada 90 días para confirmar que la situación siga siendo la misma.
What can I do after reviewing my GitHub security risk assessment results?
Eligible enterprise admins can start a GitHub Advanced Security trial directly from the risk assessment. Depending on your eligibility, you can enable Secret Protection or Code Security, start a GitHub Advanced Security trial, or contact GitHub to speak with an expert.
¿GitHub comparte los resultados de las evaluaciones de riesgos de seguridad con sus equipos de ventas?
Solo si das tu consentimiento. Las evaluaciones en las que has dado el consentimiento comparten los datos de contacto con tu equipo de cuenta para realizar el seguimiento. Si no diste tu consentimiento, tu equipo de cuenta recibe una notificación de que tu organización ejecutó una evaluación, sin información personal o detalles de la evaluación adjuntos.