Observação: Security configurations e global settings estão em beta e sujeito a mudanças. Para fornecer feedback sobre esses recursos, consulte a discussão sobre feedback.
Sobre as descobertas de segurança em um repositório
Depois de aplicar um security configuration a um repositório, os recursos de segurança habilitados provavelmente aumentarão as descobertas de segurança nesse repositório. Essas descobertas podem aparecer como alertas específicos de recursos ou como pull requests gerados automaticamente projetados para manter seu repositório seguro. Para proteger melhor sua organização, você deve ser capaz de entender e resolver esses alertas e pull requests e, em seguida, analisar as descobertas e fazer os ajustes necessários em seus security configuration.
Interpretando alertas de secret scanning
Secret scanning é uma ferramenta de segurança que verifica todo o histórico do Git do seu repositório, bem como problemas, pull requests e discussões nesse repositório, em busca de segredos vazados que tenham sido acidentalmente confirmados, como tokens ou chaves privadas. Há dois tipos de alertas de secret scanning:
- Alertas de verificação de segredo para parceiros, que são enviadas ao provedor que emitiu o segredo
- Alertas de verificação de segredo para usuários, que aparecem em GitHub e podem ser resolvidos
Você pode visualizar alertas de secret scanning para um repositório navegando até a página principal desse repositório, clicando na guia Segurança e, em seguida, clicando em Secret scanning.
Para obter uma introdução a alertas de secret scanning, confira "Sobre a verificação de segredo."
Para saber como interpretar e resolver alertas secret scanning, consulte "Gerenciar alertas da verificação de segredo".
Interpretando alertas de code scanning
A Code scanning é um recurso que você usa para analisar o código em um repositório GitHub para encontrar vulnerabilidades de segurança e erros de codificação. Os problemas que forem identificados pela análise serão mostrados em seu repositório. Esses problemas são gerados como alertas code scanning, que contêm informações detalhadas sobre a vulnerabilidade ou erro detectado.
Você pode visualizar os alertas de code scanning para um repositório navegando até a página principal desse repositório, clicando na guia Segurança e, em seguida, clicando em Secret scanning.
Para obter uma introdução a alertas code scanning, confira "Sobre alertas de digitalização de códigos."
Aprenda como interpretar e resolver alertas da code scanning, consulte "Gerenciamento de alertas de varredura de código para seu repositório."
Interpretando Dependabot alerts
Dependabot alerts informam você sobre vulnerabilidades nas dependências usadas em um repositório. Você pode visualizar Dependabot alerts para um repositório navegando até a página principal desse repositório, clicando na guia Segurança e, em seguida, clicando em Dependabot.
Para obter uma introdução a Dependabot alerts, confira "Sobre alertas do Dependabot."
Aprenda como interpretar e resolver Dependabot alerts, consulte "Visualizando e atualizando alertas do Dependabot."
Nota: Se você ativou Dependabot security updates ou Dependabot version updates, Dependabot também poderá gerar automaticamente pull requests para atualizar as dependências usadas em seu repositório. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot" e "Sobre as atualizações da versão do Dependabot."
Próximas etapas
Se você estiver usando o GitHub-recommended security configuration e suas descobertas indicarem que as configurações de habilitação de segurança não estão atendendo às suas necessidades, crie um custom security configuration. Para começar, confira "Criando uma configuração de segurança personalizada".
Se você estiver usando um custom security configuration e suas descobertas indicarem que as configurações de habilitação de segurança não estão atendendo às suas necessidades, você pode editar sua configuração atual. Para obter mais informações, confira "Edição de uma configuração de segurança personalizada".
Por fim, você também pode editar suas configurações de segurança no nível da organização com global settings. Para saber mais, confira "Configurações de segurança globais para sua organização".