Introdução
Este guia mostra como configurar os recursos de segurança de uma organização. As necessidades de segurança da sua organização são únicas e pode ser que você não precise habilitar todas as funcionalidades de segurança. Para obter mais informações, confira "Recursos de segurança do GitHub".
Alguns recursos estão disponíveis para os repositórios em todos os planos. Há recursos adicionais disponíveis para as empresas que usam o GitHub Advanced Security. Os recursos do GitHub Advanced Security também estão habilitados para todos os repositórios públicos no GitHub.com. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".
Gerenciando o acesso à sua organização
Você pode usar as funções para controlar as ações que as pessoas podem tomar na sua organização. Por exemplo, você pode atribuir a função de gerente de segurança a uma equipe para dar a ela a capacidade de gerenciar as configurações de segurança de toda a organização, bem como o acesso de leitura em todos os repositórios. Para obter mais informações, confira "Funções em uma organização".
Criando uma política de segurança padrão
Você pode criar uma política de segurança padrão que será exibida em qualquer repositório público da organização que não tenha sua própria política de segurança. Para obter mais informações, confira "Como criar um arquivo padrão de integridade da comunidade".
Gerenciar Dependabot alerts e o gráfico de dependências
GitHub detecta vulnerabilidades em repositórios públicos e exibe o gráfico de dependências. Você pode habilitar ou desabilitar Dependabot alerts para todos os repositórios públicos pertencentes à sua organização. Você pode habilitar ou desabilitar Dependabot alerts e o gráfico de dependência de todos os repositórios privados da sua organização.
- Clique na foto do seu perfil e clique em Organizações.
- Clique em Configurações ao lado da sua organização.
- Clique em Segurança e análise.
- Clique em Habilitar tudo ou em Desabilitar tudo ao lado do recurso que deseja gerenciar.
- Opcionalmente, selecione Habilitar automaticamente para novos repositórios.
Para saber mais, confira "Sobre alertas do Dependabot", "Explorar as dependências de um repositório" e "Gerenciando as configurações de segurança e de análise da sua organização".
Gerenciando revisão de dependências
A revisão de dependências é um recurso de Advanced Security que permite visualizar alterações de dependência em pull requests antes de serem mesclados nos seus repositórios. Para obter mais informações, confira "Sobre a análise de dependência".
A revisão de Dependência já está habilitada para todos os repositórios públicos. Para repositórios privados e internos pertencentes a uma organização, você pode habilitar a revisão de dependência, habilitando o gráfico de dependências e habilitando Advanced Security (veja abaixo).
Gerenciar Dependabot security updates
Para qualquer repositório que usar Dependabot alerts, você pode habilitar Dependabot security updates para abrir pull requests com atualizações de segurança quando forem detectadas vulnerabilidades. Você também pode habilitar ou desabilitar Dependabot security updates para todos os repositórios da sua organização.
- Clique na foto do seu perfil e clique em Organizações.
- Clique em Configurações ao lado da sua organização.
- Clique em Segurança e análise.
- Clique em Habilitar tudo ou em Desabilitar tudo ao lado das Dependabot security updates.
- Opcionalmente, selecione Habilitar automaticamente para novos repositórios.
Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot" e "Gerenciando as configurações de segurança e de análise da sua organização."
Gerenciar Dependabot version updates
Você pode habilitar Dependabot para aumentar automaticamente os pull requests para manter suas dependências atualizadas. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".
Para habilitar as Dependabot version updates, crie um arquivo de configuração dependabot.yml. Para obter mais informações, confira "Configurando a versão das atualizações do Dependabot".
Gerenciar GitHub Advanced Security
Se a sua organização pertencer a uma empresa que tem uma licença do Advanced Security, você pode habilitar ou desabilitar recursos do Advanced Security.
- Clique na foto do seu perfil e clique em Organizações.
- Clique em Configurações ao lado da sua organização.
- Clique em Segurança e análise.
- Clique em Habilitar tudo ou em Desabilitar tudo ao lado do GitHub Advanced Security.
- Opcionalmente, selecione Habilitar automaticamente para novos repositórios privados.
Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub" e "Gerenciando as configurações de segurança e de análise da sua organização."
Configurar o secret scanning
O Secret scanning já disponível para todos os repositórios públicos, assim como pacotes npm públicos. As organizações que usam o GitHub Enterprise Cloud com o Advanced Security também podem habilitar a secret scanning em repositórios privados e internos.
Você pode habilitar ou desabilitar a secret scanning para todos os repositórios públicos em toda a sua organização e para todos os repositórios privados e internos que tenham o GitHub Advanced Security habilitado.
- Clique na foto do seu perfil e clique em Organizações.
- Clique em Configurações ao lado da sua organização.
- Clique em Segurança e análise de código.
- Clique em Habilitar tudo ou em Desabilitar tudo ao lado da Secret scanning.
- Na caixa de diálogo exibida, você tem a opção de Habilitar automaticamente para novos repositórios públicos e repositórios com o Advanced Security habilitado.
- Clique no botão “Habilitar” ou “Desabilitar” na caixa de diálogo para confirmar a alteração.
Para obter mais informações, confira "Gerenciando as configurações de segurança e de análise da sua organização".
Como configurar a code scanning
Code scanning está disponível para todos os repositórios públicos. As organizações que usam o GitHub Enterprise Cloud com Advanced Security também podem usar code scanning em repositórios privados ou internos.
É possível habilitar ou desabilitar a configuração padrão do code scanning para todos os repositórios qualificados que são públicos e para todos os repositórios privados e internos na organização que têm o GitHub Advanced Security habilitado. Para obter informações sobre repositórios qualificados, confira Como configurar a verificação de código em escala usando o CodeQL.
No caso dos repositórios que não são elegíveis para a configuração padrão, é possível definir a configuração avançada no nível do repositório. Para obter mais informações, confira "Como configurar a verificação de código para um repositório".
Observação: a capacidade de habilitar e desabilitar a configuração padrão do code scanning em repositórios qualificados de uma organização está atualmente em versão beta e sujeita a alterações. Durante a versão beta, se você desabilitar CodeQL code scanning em todos os repositórios, essa alteração não será refletida nas informações de cobertura mostradas na visão geral de segurança da organização. Vai parecer que os repositórios continuam com o code scanning habilitado nessa exibição.
- Clique na foto do seu perfil e clique em Organizações.
- Clique em Configurações ao lado da sua organização.
- Clique em Segurança e análise de código.
- Clique em Habilitar tudo ou Desabilitar tudo ao lado do Code scanning.
- Na caixa de diálogo "Habilitar o code scanning para os repositórios qualificados" ou "Desabilitar o code scanning" que é exibida, clique em Habilitar para os repositórios qualificados ou Desabilitar o code scanning para confirmar a alteração.
Próximas etapas
Você pode visualizar e gerenciar alertas de funcionalidades de segurança para resolver dependências e vulnerabilidades no seu código. Para obter mais informações, confira "Visualizando e atualizando alertas do Dependabot", "Gerenciar pull requests para atualizações de dependências", "Gerenciamento de alertas de varredura de código para seu repositório" e "Gerenciar alertas da verificação de segredo".
Você também pode monitorar respostas a alertas de segurança em sua organização. Para obter mais informações, confira "Alertas de segurança de auditoria".
Se você tiver uma vulnerabilidade de segurança, você poderá criar uma consultoria de segurança para discutir em privado e corrigir a vulnerabilidade. Para obter mais informações, confira "Sobre os avisos de segurança do repositório" e "Criando uma consultoria de segurança do repositório."
Você podem ver, filtrar e classificar os alertas de segurança de repositórios pertencentes à organização sua na visão geral de segurança. Para obter mais informações, confira "Sobre a visão geral de segurança".
Leitura adicional
"Acessando relatórios de conformidade para a sua organização"