Como proteger sua organização

Neste artigo

Você pode usar uma série de funcionalidades de GitHub para ajudar a manter a sua organização protegida.

Quem pode usar esse recurso

Organization owners and security managers can manage security features for an organization.

Introdução

Como proprietário da organização ou gerenciador de segurança, você pode usar os recursos de segurança do GitHubpara manter o código, as dependências e os segredos da sua organização seguros. Para obter mais informações, confira "Recursos de segurança do GitHub".

As necessidades de segurança da sua organização são exclusivas. Talvez você queira habilitar um recurso se a sua organização tiver sido afetada por uma vulnerabilidade que um determinado recurso teria evitado ou se o recurso ajudará sua organização a atender a um requisito de conformidade.

Você pode habilitar recursos de segurança em vários repositórios em uma organização ao mesmo tempo. Para cada recurso que você deseja habilitar, você deve decidir como distribuir o recurso nos repositórios da sua organização. Diferentes recursos têm efeitos diferentes em sua organização e seus colaboradores, portanto, é importante avaliar o impacto que cada recurso terá. Por exemplo:

  • Alguns recursos podem gerar notificações para informar os membros da sua organização sobre vulnerabilidades específicas: para garantir que essas notificações sejam direcionadas e relevantes, convém solicitar que os membros marquem suas configurações de notificação antes de habilitar um recurso. Para obter mais informações, confira "Configurar notificações".
  • Alguns recursos podem consumir recursos para cada repositório no qual estão habilitados. Por exemplo, habilitar o code scanning em um repositório privado pode consumir uma licença GitHub Advanced Security e executar a análise do code scanning em um repositório incorrerá no uso de GitHub Actions ou em outro sistema de CI.

Como proprietário da organização, você pode conceder a determinados usuários permissão para habilitar ou desabilitar recursos de segurança atribuindo a função de "gerenciador de segurança" a uma equipe. Os gerentes de segurança podem definir as configurações de segurança e monitorar o uso de recursos de segurança em toda a sua organização. Para obter mais informações, confira "Gerenciando os gerentes de segurança da sua organização".

Sobre os pré-requisitos de recursos

Alguns recursos de segurança têm pré-requisitos. Por exemplo, Dependabot alerts usam informações do grafo de dependência, portanto, habilitar o Dependabot alerts habilita automaticamente o grafo de dependência.

Alguns recursos são habilitados por padrão em repositórios públicos. Em repositórios privados, alguns recursos estão disponíveis apenas para empresas que usam GitHub Advanced Security e habilitaram Advanced Security como um recurso para repositórios. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Há alguns recursos que você deve configurar para cada repositório individualmente. Por exemplo, para habilitar Dependabot version updates em um repositório, você deve adicionar um arquivodependabot.yml especificando onde encontrar informações sobre as dependências do projeto. Para obter mais informações, confira "Configurando a versão das atualizações do Dependabot".

Habilitar recursos de segurança em sua organização

Quando você decide habilitar um recurso de segurança, a próxima etapa é decidir como implementar esse recurso em toda a organização.

Ao decidir como habilitar um recurso para os repositórios existentes da sua organização, você também deve decidir como lidar com os novos repositórios criados em sua organização no futuro. Para obter mais informações, confira "Como habilitar um recurso para novos repositórios".

Habilitar um recurso para todos os repositórios

A maneira mais rápida de implantar um recurso de segurança é habilitá-lo para todos os repositórios em sua organização de uma só vez. Se você identificou uma necessidade crítica de um recurso, habilitá-lo para todos os repositórios oferece proteção em toda a sua organização, sem exigir que você pause para elaborar um plano de distribuição.

Antes de habilitar um recurso para todos os repositórios, considere o impacto que essa ação terá. Se você não tiver certeza sobre os efeitos que um recurso terá, é mais seguro começar habilitando o recurso para uma seleção limitada de repositórios. A habilitação de um recurso para todos os repositórios ao mesmo tempo provavelmente será uma opção adequada nas situações a seguir.

  • Você tem uma visão geral de todos os repositórios em sua organização e está confiante de que todos eles se beneficiarão de um determinado recurso.
  • Se um recurso exigir recursos como licenças do GitHub Advanced Security ou GitHub Actions, você avaliou os recursos que serão necessários e está feliz em continuar.
  • Se o recurso gerar notificações ou solicitações de pull, você estará confiante de que elas serão direcionadas e relevantes para os membros que as recebem ou precisam revisá-las.

Quando estiver pronto para continuar, siga estas etapas para habilitar um recurso para todos os repositórios.

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela da barra de navegação horizontal para uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Segurança de código e análise.

  4. Para habilitar um recurso em todos os repositórios em sua organização em que o recurso tem suporte, ao lado do nome do recurso, clique em Habilitar tudo.

Ao clicar em Habilitar tudo, você precisará confirmar sua escolha. Você também será informado se o recurso depende de outro recurso ou requer GitHub Advanced Security. Para obter mais informações, confira "Gerenciando as configurações de segurança e de análise da sua organização".

Habilitar um recurso para uma seleção de repositórios

Em alguns casos, é melhor identificar uma seleção de repositórios que exigem um recurso e habilitar o recurso apenas para esses repositórios.

Se você não tiver certeza sobre o impacto que um recurso terá, talvez queira testar o recurso em uma seleção limitada de repositórios antes de se comprometer com a habilitação do recurso para todos os repositórios ou talvez queira implantar o recurso gradualmente em várias fases. Você também pode estar ciente de que alguns repositórios em sua organização exigem um conjunto diferente de recursos do que outros.

Ao identificar os repositórios que exigem um recurso, você pode habilitar o recurso para cada repositório individualmente. Como um proprietário da organização ou gerenciador de segurança, você pode definir as configurações de segurança para cada repositório em sua organização. Para obter mais informações, confira "Proteger o repositório".

Para organizações no GitHub Enterprise Cloud, você pode usar a exibição "Cobertura de segurança" para identificar repositórios que exigem um recurso e habilitar esse recurso para esses repositórios. Para obter mais informações, confira a "Como habilitar recursos de segurança para vários repositórios" na documentação do GitHub Enterprise Cloud.

Habilitar um recurso para novos repositórios

Você pode optar por habilitar um recurso de segurança automaticamente em todos os novos repositórios criados em sua organização. Habilitar recursos em novos repositórios garante que eles sejam protegidos imediatamente e garante que quaisquer vulnerabilidades nos repositórios sejam identificadas o mais cedo possível. No entanto, para usar os recursos de segurança da forma mais eficiente possível, talvez você prefira examinar cada novo repositório individualmente.

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela da barra de navegação horizontal para uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Segurança de código e análise.

  4. Abaixo do nome do recurso, selecione a opção para habilitar automaticamente o recurso em repositórios futuros aplicáveis.

    Captura de tela da página "Análise e segurança de código". Abaixo de "Alertas do Dependabot", uma caixa de seleção para habilitar o recurso em repositórios futuros é realçada com uma estrutura de tópicos laranja.

Monitorar o impacto dos recursos de segurança

Quando você tiver habilitado um recurso, deverá se comunicar com administradores e colaboradores do repositório em sua organização para avaliar o impacto do recurso. Talvez seja necessário ajustar a configuração de alguns recursos no nível do repositório ou reavaliar a distribuição de recursos de segurança em toda a sua organização. Você também deve monitorar os alertas de segurança gerados por um recurso e as respostas dos membros a esses alertas.

Organizações que usam GitHub Enterprise Cloud podem usar a visão geral de segurança para ver quais equipes e repositórios são afetados por alertas de segurança, com um detalhamento de alertas por gravidade. Para obter mais informações, confira "Avaliar o risco de segurança do código" na documentação do GitHub Enterprise Cloud.

Você pode usar várias ferramentas para monitorar as ações que os membros da sua organização estão tomando em resposta a alertas de segurança. Para obter mais informações, confira "Alertas de segurança de auditoria".

Próximas etapas

Para ajudar os usuários a relatar vulnerabilidades de segurança, você pode criar uma política de segurança padrão que será exibida em qualquer um dos repositórios públicos da sua organização que não tenham sua política de segurança. Para obter mais informações, confira "Como criar um arquivo padrão de integridade da comunidade".