Configurar o seu repositório com segurança
O primeiro passo para proteger um repositório é configurar quem pode ver e modificar o seu código. Para obter mais informações, consulte "Gerenciar configurações do repositório".
Proteger o repositório
GitHub tem um conjunto crescente de recursos de segurança que ajudam você a manter seu código protegido. Você pode encontrá-los na aba Segurança do seu repositório.
Available for all repositories
-
Política de segurança
Facilita para as pessoas relatar, de modo confidencial, vulnerabilidades de segurança que encontram no seu repositório. Para obter mais informações, consulte "Adicionar uma política de segurança ao seu repositório".
-
Consultorias de segurança
Discute em particular e corrige vulnerabilidades de segurança no código do seu repositório. Em seguida, você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre a vulnerabilidade e incentivá-los a fazer a atualização. Para obter mais informações, consulte "Sobre Aviso de Segurança do GitHub".
-
Dependabot alerts e atualizações de segurança
Ver alertas sobre dependências conhecidas por conter vulnerabilidades de segurança e escolher se deseja gerar pull requests para atualizar essas dependências automaticamente. Para obter mais informações, consulte "Sobre alertas de dependências vulneráveis e "Sobre Dependabot security updates".
-
atualizações de versão de Dependabot Use
Dependabot para aumentar automaticamente os pull requests e manter suas dependências atualizadas. Isso ajuda a reduzir a exposição a versões mais antigas de dependências. Usar versões mais recentes facilita a aplicação de patches, caso as vulnerabilidades de segurança sejam descobertas e também torna mais fácil para Dependabot security updates levantar, com sucesso, os pull requests para atualizar as dependências vulneráveis. Para obter mais informações, consulte "Sobre o Dependabot version updates".
Available for public repositories and for repositories with Segurança Avançada
These features are available for all public repositories, and for private repositories owned by organizations with an Segurança Avançada license. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub".
-
Alertas de Varredura de código
Detectar automaticamente vulnerabilidades de segurança e erros de codificação em códigos novos ou modificados. São destacados os problemas potenciais, com informações detalhadas, o que permite que você corrija o código antes que seja mesclado no seu branch-padrão. Para obter mais informações, consulte "Sobre a varredura de código".
-
Segredos detectados
For private repositories, view any secrets that GitHub has found in your code. Você deve tratar os tokens ou credenciais verificados no repositório como comprometidos. Para obter mais informações, consulte "Sobre a varredura de segredos."
- Revisão de dependências - Mostra o impacto total das alterações nas dependências e vê detalhes de qualquer versão vulnerável antes de realizar o merge de um pull request. Para obter mais informações, consulte "Revisar as mudanças de dependências em um pull request".
Explorar dependências
O gráfico de dependências de GitHub permite que você explore:
- Ecossistemas e pacotes dos quais o repositório depende
- Repositórios e pacotes que dependem do seu repositório
Você deve habilitar o gráfico de dependências antes de GitHub pode gerar Dependabot alerts para dependências com vulnerabilidades de segurança. Enabling the dependency graph also enables GitHub to run dependency reviews of pull requests.
Você pode encontrar o gráfico de dependências na aba Ideias para o seu repositório. Para obter mais informações, consulte "Sobre o gráfico de dependência".