Recursos de segurança do GitHub

Sobre os recursos de segurança do GitHub

Os recursos de segurança do GitHub ajudam a manter o código e os segredos seguros em repositórios e entre organizações.

• Alguns recursos estão disponíveis para todos os planos do GitHub.
• Recursos adicionais estão disponíveis para organizações no GitHub Team e no GitHub Enterprise Cloud que compram um produto do GitHub Advanced Security:
  • GitHub Secret Protection
  • GitHub Code Security
• Além disso, vários recursos do GitHub Secret Protection e do GitHub Code Security podem ser executados em repositórios públicos gratuitamente.

Disponíveis para todos os planos do GitHub

Os recursos de segurança a seguir estão disponíveis para uso, independentemente do seu plano do GitHub. Você não precisa comprar o GitHub Secret Protection or GitHub Code Security para usar esses recursos.

A maioria desses recursos está disponível para repositórios públicos e privados. Alguns recursos estão disponíveis apenas para repositórios públicos.

Política de segurança

Facilite o acesso dos seus usuários para relatar confidencialmente vulnerabilidades de segurança que encontraram no seu repositório. Para saber mais, confira Adicionar uma política de segurança a um repositório.

Gráfico de dependências

O gráfico de dependências permite explorar os ecossistemas e pacotes dos quais o repositório depende e os repositórios e pacotes que dependem do seu repositório.

Encontre o grafo de dependência na guia Insights do seu repositório. Para saber mais, confira Sobre o gráfico de dependências.

SBOM (lista de materiais de software)

Você pode exportar o grafo de dependência de seu repositório como uma SBOM (lista de materials de software) compatível com SPDX. Para saber mais, confira Como exportar uma lista de materiais de software para seu repositório.

GitHub Advisory Database

O GitHub Advisory Database contém uma lista de vulnerabilidades de segurança que você pode visualizar, pesquisar e filtrar. Para saber mais, confira Como procurar avisos de segurança no GitHub Advisory Database.

Dependabot alerts e atualizações de segurança

Ver alertas sobre dependências conhecidas por conter vulnerabilidades de segurança e escolher se deseja gerar pull requests para atualizar essas dependências automaticamente. Para saber mais, confira Sobre alertas do Dependabot e Sobre as atualizações de segurança do Dependabot.

Você também pode usar Regras de triagem automática do Dependabot curados por GitHub para filtrar automaticamente uma quantidade substancial de falsos positivos.

Para obter uma visão geral dos diferentes recursos oferecidos pelo Dependabot e instruções sobre como começar, confira Guia de início rápido do Dependabot.

Dependabot version updates

Use Dependabot para levantar automaticamente os pull requests a fim de manter suas dependências atualizadas. Isso ajuda a reduzir a exposição a versões mais antigas de dependências. Usar versões mais recentes facilita a aplicação de patches, caso as vulnerabilidades de segurança sejam descobertas e também torna mais fácil para Dependabot security updates levantar, com sucesso, os pull requests para atualizar as dependências vulneráveis. Também é possível personalizar Dependabot version updates para simplificar sua integração em seus repositórios. Para saber mais, confira Sobre as atualizações da versão do Dependabot.

Avisos de segurança

Discuta em particular e corrija vulnerabilidades de segurança no código do seu repositório público. Em seguida, você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre a vulnerabilidade e incentivar os integrantes da comunidade a atualizá-la. Para saber mais, confira Sobre os avisos de segurança do repositório.

Conjuntos de regras do repositório

Imponha padrões de código, segurança e conformidade consistentes entre branches e marcas. Para saber mais, confira Sobre os conjuntos de regras.

Atestados de artefatos

Crie garantias de procedência e integridade infalsificáveis para o software que você cria. Para saber mais, confira Usar atestados de artefatos para estabelecer a procedência de compilações.

Alertas de verificação de segredo para parceiros

Quando o GitHub detecta um segredo vazado em um repositório público ou em um pacote npm público, o GitHub informa ao provedor de serviços relevante que o segredo pode estar comprometido. Para obter detalhes dos segredos e provedores de serviços com suporte, confira Padrões de varredura de segredos com suporte.

Proteção por push para usuários

A proteção por push para usuários protege você automaticamente contra a confirmação acidental de segredos em repositórios públicos, independentemente de o repositório ter secret scanning habilitados. A proteção por push para usuários está desabilitada por padrão, mas é possível desabilitar o recurso a qualquer momento por meio das configurações da sua conta pessoal. Para saber mais, confira Proteção por push para usuários.

Disponível com o GitHub Secret Protection

Para contas no GitHub Team e no GitHub Enterprise Cloud, você pode acessar recursos de segurança adicionais quando compra o GitHub Secret Protection.

O GitHub Secret Protection inclui recursos que ajudam você a detectar e evitar vazamentos de segredos, como a secret scanning e a proteção de push.

Esses recursos estão disponíveis para todos os tipos de repositório. Alguns desses recursos estão disponíveis gratuitamente para repositórios públicos, o que significa que você não precisa comprar o GitHub Secret Protection para habilitar o recurso em um repositório público.

Alertas de verificação de segredo para usuários

Detectar automaticamente tokens ou credenciais que foram verificados em um repositório. Você pode visualizar alertas para quaisquer segredos que GitHub encontrar no seu código, na guia Segurança do repositório, para que você saiba quais tokens ou credenciais tratar como comprometidas. Para saber mais, confira Sobre alertas secretos de verificação.

Disponível para repositórios públicos por padrão.

Verificação de segredos do Copilot

A detecção de segredos genéricos da Verificação de segredos do Copilot é uma expansão com a tecnologia de IA do secret scanning, que identifica segredos não estruturados (senhas) em seu código-fonte e, em seguida, gera um alerta. Para saber mais, confira Detecção responsável de segredos genéricos com a verificação de segredos do Copilot.

Proteção por push

A proteção de push examina proativamente seu código e qualquer código de colaboradores do repositório em busca de segredos durante o processo de push e bloqueia o push se algum segredo é detectado. Se um colaborador contornar o bloqueio, o GitHub cria um alerta. Para saber mais, confira Sobre a proteção por push.

Disponível para repositórios públicos por padrão.

Bypass delegado para proteção de push

O bypass delegado da proteção de push permite controlar quais indivíduos, funções e equipes podem ignorar a proteção de push e implementa um ciclo de revisão e aprovação para pushes que contêm segredos. Para saber mais, confira Sobre o bypass delegado para proteção de push.

Padrões personalizados

Você pode definir padrões personalizados para identificar segredos que não são detectados pelos padrões padrão compatíbeis com secret scanning, como padrões que são internos à sua organização. Para saber mais, confira Definir padrões personalizados para a verificação de segredo.

Visão geral da segurança

A visão geral de segurança permite que você analise o cenário geral de segurança da sua organização, exiba tendências e outros insights e gerencie configurações de segurança, facilitando o monitoramento do status de segurança da sua organização e a identificação dos repositórios e das organizações de maior risco. Para saber mais, confira Sobre a visão geral de segurança.

Disponível com o GitHub Code Security

Para contas no GitHub Team e no GitHub Enterprise Cloud, você pode acessar recursos de segurança adicionais quando compra o GitHub Code Security.

O GitHub Code Security inclui recursos que ajudam você a encontrar e corrigir vulnerabilidades, como code scanning, recursos premium do Dependabot e a revisão de dependência.

Esses recursos estão disponíveis para todos os tipos de repositório. Alguns desses recursos estão disponíveis gratuitamente para repositórios públicos, o que significa que você não precisa comprar o GitHub Code Security para habilitar o recurso em um repositório público.

Code scanning

Detectar automaticamente vulnerabilidades de segurança e erros de codificação em códigos novos ou modificados. São destacados os problemas potenciais, com informações detalhadas, o que permite que você corrija o código antes que seja mesclado no seu branch-padrão. Para saber mais, confira Sobre a varredura de código.

Disponível para repositórios públicos por padrão.

CodeQL CLI

Execute processos do CodeQL localmente em projetos de software ou com o objetivo de gerar resultados do code scanning para upload no GitHub. Para saber mais, confira Sobre a CLI do CodeQL.

Disponível para repositórios públicos por padrão.

Copilot Autofix

Obtenha correções geradas automaticamente para alertas do code scanning. Para saber mais, confira Uso responsável da Correção Automática do Copilot para verificação de código.

Disponível para repositórios públicos por padrão.

Regras de triagem automática personalizadas para Dependabot

Ajudar a gerenciar em escala seus dados Dependabot alerts. Com regras de triagem automática personalizadas você tem controle sobre os alertas que deseja ignorar, adiar ou acionar uma atualização de segurança para. Dependabot. Para saber mais, confira Sobre alertas do Dependabot e Personalizando regras de triagem automática para priorizar alertas do Dependebot.

Análise de dependência

Mostre o impacto completo das alterações nas dependências e veja detalhes de qualquer versão vulnerável antes de fazer merge de um pull request. Para saber mais, confira Sobre a análise de dependência.

Disponível para repositórios públicos por padrão.

Campanhas de segurança

Corrija os alertas de segurança em escala criando campanhas de segurança e colaborando com desenvolvedores para reduzir sua lista de pendências de segurança. Para saber mais, confira Sobre as campanhas de segurança.

Visão geral da segurança

A visão geral de segurança permite que você analise o cenário geral de segurança da sua organização, exiba tendências e outros insights e gerencie configurações de segurança, facilitando o monitoramento do status de segurança da sua organização e a identificação dos repositórios e das organizações de maior risco. Para saber mais, confira Sobre a visão geral de segurança.

Leitura adicional

• Planos do GitHub
• Sobre a Segurança Avançada do GitHub
• Suporte a linguagem do GitHub