Criando uma configuração de segurança personalizada

Crie um custom security configuration para atender às necessidades específicas de segurança dos repositórios em sua organização.

Quem pode usar esse recurso?

Proprietários e gerentes de segurança da organização podem gerenciar security configurations e global settings da organização.

Neste artigo

Observação: Security configurations e global settings estão em beta e sujeito a mudanças. Para fornecer feedback sobre esses recursos, consulte a discussão sobre feedback.

Sobre custom security configurations

Recomendamos proteger sua organização com o GitHub-recommended security configuration e, em seguida, avaliar as descobertas de segurança em seus repositórios antes de configurar custom security configurations. Para obter mais informações, confira "Aplicação da configuração de segurança recomendada pelo GitHub em sua organização".

Com custom security configurations, você pode criar coleções de configurações de habilitação para os produtos de segurança de GitHub para atender às necessidades de segurança específicas de sua organização. Por exemplo, você pode criar um custom security configuration diferente para cada grupo de repositórios para refletir seus diferentes níveis de visibilidade, tolerância a riscos e impacto.

Criando um custom security configuration

Nota: o status de habilitação de alguns recursos de segurança depende de outros recursos de segurança de nível superior. Por exemplo, desabilitar o grafo de dependência também desabilitará a análise de exposição de vulnerabilidade Dependabot, e atualizações de segurança. Para security configurations, os recursos de segurança dependentes são indicados com recuo e .

  1. No canto superior direito do GitHub.com, selecione sua foto do perfil e em Suas organizações.

    Captura de tela do menu suspenso na imagem de perfil do @octocat. "Suas organizações" está contornado em laranja escuro.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na seção "Segurança" da barra lateral, selecione o menu suspenso Código de segurança e clique em Configurações.

  4. Na seção "Configurações de segurança de código", clique em Nova configuração.

  5. Para ajudar a identificar seus custom security configuration e esclarecer sua finalidade na página "Código security configurations", nomeie sua configuração e crie uma descrição.

  6. Na linha "recursos GitHub Advanced Security", escolha se deseja incluir ou excluir recursos GitHub Advanced Security (GHAS). Se você planeja aplicar um custom security configuration com recursos GHAS a repositórios privados, você deve ter licenças GHAS disponíveis para cada committer exclusivo ativo para esses repositórios, ou os recursos não serão habilitados. Para saber mais sobre committers e licenciamento GHAS, consulte "Sobre o faturamento da Segurança Avançada do GitHub".

  7. Na seção "Grafo de dependência" da tabela de configurações de segurança, escolha se deseja habilitar, desabilitar ou manter as configurações existentes para os seguintes recursos de segurança:

    Nota: Não é possível alterar manualmente as configurações de habilitação para chamadas de função vulneráveis. Se recursos GitHub Advanced Security e Dependabot alerts estiverem habilitados, as chamadas de função vulneráveis também serão habilitadas. Caso contrário, estará desabilitada.

  8. Na seção "Code scanning" da tabela de configurações de segurança, escolha se deseja habilitar, desabilitar ou manter as configurações existentes para a configuração padrão code scanning. Para saber mais sobre a configuração padrão, consulte "Como definir a configuração padrão da verificação de código".

  9. Na seção "Secret scanning" da tabela de configurações de segurança, escolha se deseja habilitar, desabilitar ou manter as configurações existentes para os seguintes recursos de segurança:

  10. Na seção "Relatório de vulnerabilidade privada" da tabela de configurações de segurança, escolha se deseja habilitar, desabilitar ou manter as configurações existentes para relatório de vulnerabilidade privada. Para saber mais sobre relatórios de vulnerabilidades privadas, consulte "Como configurar relatórios privados de vulnerabilidades em um repositório".

  11. Opcionalmente, na seção "Política", você pode optar por aplicar automaticamente o security configuration a repositórios recém-criados, dependendo da visibilidade deles. Selecione o menu suspenso Nenhum e clique em Público ou Privado e interno, ou ambos.

    Observação: O security configuration padrão de uma organização é aplicado automaticamente apenas a novos repositórios criados dentro da organização. Se um repositório for transferido para sua organização, você ainda precisará aplicar um security configuration apropriado ao repositório manualmente.

  12. Para concluir a criação de seu custom security configuration, clique em Salvar configuração.

Próximas etapas

Para aplicar seu custom security configuration a repositórios em sua organização, consulte "Aplicando uma configuração de segurança personalizada".

Para saber como editar seu custom security configuration, consulte "Edição de uma configuração de segurança personalizada".