Como gerenciar os recursos do GitHub Advanced Security na empresa

Você pode controlar os recursos do GitHub Advanced Security que protegem e analisam o código em todas as organizações pertencentes à empresa.

Quem pode usar esse recurso?

Enterprise owners can manage Advanced Security features for organizations in an enterprise.

Neste artigo

Sobre o gerenciamento dos recursos do Advanced Security

Você pode usar os recursos do Advanced Security para reforçar a segurança das organizações na empresa. Você pode habilitar recursos de segurança em larga escala rapidamente com o GitHub-recommended security configuration, uma coleção de configurações de ativação de segurança que podem ser aplicadas a repositórios em uma organização. Você pode personalizar ainda mais os recursos do GitHub Advanced Security no nível da organização com global settings. Confira "Sobre a habilitação de recursos de segurança em escala".

Nota: Security configurations e global settings estão em beta e sujeito a mudanças.

Para gerenciar recursos individuais do GitHub Advanced Security, você pode habilitar ou desabilitar cada recurso para todos os repositórios existentes e/ou novos dentro das organizações pertencentes à empresa.

Você também pode habilitar ou desabilitar recursos do Advanced Security por meio da API. Para obter mais informações, confira "Pontos de extremidade da API REST para verificação de segredos" na documentação da API REST.

Para obter informações de como comprar uma licença do GitHub Advanced Security, confira "Inscrever-se para GitHub Advanced Security".

Se você não tiver permitido o GitHub Advanced Security para uma organização, essa organização não será afetada pela habilitação de um recurso para todos os repositórios existentes ou para todos os novos repositórios. Para obter mais informações de como não permitir o GitHub Advanced Security para uma organização, confira "Como impor políticas para segurança e análise de código na empresa".

Ao habilitar um ou mais recursos de segurança e análise nos repositórios existentes, você verá todos os resultados exibidos no GitHub em minutos.

Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.

Como gerenciar os recursos do Advanced Security

Observação: se você habilitar o GitHub Advanced Security, os committers ativos desses repositórios usarão estações do GitHub Advanced Security. Essa opção estará desabilitada se você tiver excedido a capacidade da sua licença. Para mais informações, confira "Sobre o faturamento da Segurança Avançada do GitHub".

  1. No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.

  2. Na lista de empresas, clique na empresa que você deseja visualizar.

  3. Na barra lateral da conta corporativa, clique em Configurações.

  4. Na barra lateral esquerda, clique em Segurança e análise de código.

  5. Opcionalmente, habilite ou desabilite um recurso para todos os repositórios existentes.

    • À direita do recurso, clique em Desabilitar tudo ou Habilitar tudo. Se o controle do "GitHub Advanced Security" está desabilitado, você não tem estações disponíveis para o GitHub Advanced Security.

Captura de tela da seção "Configurar recursos de segurança e análise" das configurações da empresa. À direita de cada configuração, estão os botões "Habilitar tudo" e "Desabilitar tudo" contornados em laranja escuro.

  • Para confirmar a alteração, clique no botão Habilitar/Desabilitar tudo ou Habilitar/Desabilitar para repositórios qualificados na caixa de diálogo exibida.

  1. Opcionalmente, para habilitar ou desabilitar um recurso automaticamente quando são criados novos repositórios privados e internos, repositórios de namespace de usuário pertencentes a Enterprise Managed Users ou repositórios públicos e repositórios com o GitHub Advanced Security habilitado, marque a caixa de seleção abaixo do recurso.

  2. Também é possível permitir automaticamente que a secret scanning verifique a validade de um segredo enviando-o ao parceiro relevante. Para isso, selecione a caixa de seleção correspondente em "Secret scanning". Você também pode habilitar a verificação de validade para um único repositório ou uma única organização. Para saber mais, confira "Configurar a verificação de segredo para seus repositórios" e "Gerenciando as configurações de segurança e de análise da sua organização".

    Para obter informações sobre como usar a API REST para habilitar verificações de validade para padrões de parceiros para sua empresa, consulte "Pontos de extremidade da API REST para segurança e análise de código corporativo".

    Observação: as verificações de validade para padrões de parceiros estão em versão beta e sujeitas a alterações.

  3. Opcionalmente, para incluir um link personalizado na mensagem que os membros verão quando tentarem enviar um segredo por push, selecione Adicionar um link de recurso na CLI e na IU da Web quando um commit for bloqueado, digite uma URL e clique em Salvar link.

    Observação: quando um link personalizado for configurado para uma organização, o valor no nível da organização substituirá o conjunto de links personalizados da empresa. Para obter mais informações, consulte "Proteção por push para repositórios e organizações".

    Captura de tela da seção "Proteção por push" das configurações para recursos de segurança e análise. A caixa de seleção e o campo de texto usado para habilitar um link personalizado estão contornados em laranja escuro.