Introdução
Este guia mostra como configurar as funcionalidades de segurança para um repositório. Você deve ser um administrador ou proprietário da organização do repositório para definir as configurações de segurança para um repositório.
As suas necessidades de segurança são únicas para o seu repositório. Portanto, talvez não seja necessário habilitar todos os recursos para o seu repositório. Para saber mais, confira Recursos de segurança do GitHub.
Alguns recursos estão disponíveis para os repositórios em todos os planos. Há recursos adicionais disponíveis para as empresas que usam o GitHub Advanced Security. Os recursos do GitHub Advanced Security também estão habilitados para todos os repositórios públicos no GitHub. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".
Fixar um problema no repositório
O primeiro passo para proteger um repositório é definir quem pode ver e modificar o seu código. Para saber mais, confira Gerenciando as configurações e funcionalidades do seu repositório.
Na página principal do repositório, clique em Settings e role a página para baixo até "Danger Zone".
- Para alterar as pessoas que podem ver seu repositório, clique em Alterar visibilidade. Para saber mais, confira Definir a visibilidade do repositório.
- Para alterar as pessoas que podem acessar seu repositório e ajustar as permissões, clique em Gerenciar acesso. Para saber mais, confira Gerenciando equipes e pessoas com acesso ao seu repositório.
Gerenciar o gráfico de dependências
O grafo de dependência é gerado automaticamente para todos os repositórios públicos. Você pode optar por habilitá-lo para forks e repositórios privados. O grafo de dependência interpreta arquivos de manifesto e de bloqueio em um repositório para identificar dependências.
- Na página principal do repositório, clique em Configurações.
- Clique em Code security.
- Ao lado de Grafo de dependência, clique em Habilitar ou Desabilitar.
Para saber mais, confira Explorar as dependências de um repositório.
Gerenciar Dependabot alerts
Dependabot alerts são gerados quando GitHub identifica uma dependência no gráfico de dependências com uma vulnerabilidade. Você pode habilitar Dependabot alerts para qualquer repositório.
Além disso, você pode usar Regras de triagem automática do Dependabot para gerenciar seus alertas em escala para que você possa ignorar os alertas automaticamente ou colocá-los em ociosidade e especificar para quais alertas deseja que o Dependabot abra pull requests. Para obter informações sobre os diferentes tipos de regras de triagem automática e se seus repositórios são qualificados, consulte "AUTOTITLE".
Para obter uma visão geral dos diferentes recursos oferecidos pelo Dependabot e instruções sobre como começar, confira "Guia de início rápido do Dependabot".
- Clique na foto do seu perfil e em Configurações.
- Clique em Code security.
- Clique em Habilitar tudo ao lado dos Dependabot alerts.
Para saber mais, confira Sobre alertas do Dependabot e Gerenciar as configurações de segurança e análise para a sua conta pessoal.
Gerenciando revisão de dependências
A revisão de dependências permite visualizar alterações de dependência em solicitações de pull antes de serem mescladas nos seus repositórios. Para saber mais, confira Sobre a análise de dependência.
A revisão de dependência é um recurso de GitHub Advanced Security. A revisão de Dependência já está habilitada para todos os repositórios públicos. Para habilitar a revisão de dependências para um repositório privado ou interno , assegure que o gráfico de dependências esteja habilitado e habilite GitHub Advanced Security.
- Na página principal do repositório, clique em Configurações.
- Clique em Code security.
- Se o grafo de dependência ainda não estiver habilitado, clique em Habilitar.
- Se o GitHub Advanced Security ainda não estiver habilitado, clique em Habilitar.
Gerenciar Dependabot security updates
Para qualquer repositório que usar Dependabot alerts, você pode habilitar Dependabot security updates para abrir solicitações de pull com atualizações de segurança quando forem detectadas vulnerabilidades.
- Na página principal do repositório, clique em Configurações.
- Clique em Code security.
- Ao lado das Dependabot security updates, clique em Habilitar.
Para saber mais, confira Sobre as atualizações de segurança do Dependabot e Configurando as atualizações de segurança do Dependabot.
Gerenciar Dependabot version updates
Você pode habilitar Dependabot para aumentar automaticamente as solicitações de pull para manter suas dependências atualizadas. Para saber mais, confira Sobre as atualizações da versão do Dependabot.
- Na página principal do repositório, clique em Configurações.
- Clique em Code security.
- Ao lado de Dependabot version updates, clique em Habilitar para criar um arquivo de configuração
dependabot.yml
básico. - Especifique as dependências para atualizar o arquivo e as opções de configuração associadas que houver e, em seguida, fazer commit do arquivo no repositório. Para saber mais, confira Configurando a versão das atualizações do Dependabot.
Como configurar a code scanning
Note
O Code scanning está disponível para todos os repositórios públicos e para os repositórios privados pertencentes a organizações que fazem parte de uma empresa que tem uma licença GitHub Advanced Security.
Você pode configurar a code scanning para identificar automaticamente as vulnerabilidades e os erros no código armazenado no repositório usando um Fluxo de trabalho de análise do CodeQL ou uma ferramenta de terceiros. Dependendo das linguagens de programação em seu repositório, você pode configurar code scanning com o CodeQL usando a configuração padrão, na qual GitHub determina automaticamente as linguagens a serem examinadas, conjuntos de consultas a serem executados e eventos que acionarão uma nova verificação. Para saber mais, confira Como definir a configuração padrão da verificação de código.
- Na página principal do repositório, clique em Configurações.
- Na seção "Security" da barra lateral, clique em Code security.
- Na seção "Code scanning", selecione Configurar e clique em Padrão.
- Na janela pop-up exibida, examine as configurações padrão do repositório e clique em Habilitar o CodeQL .
Como alternativa, você pode usar a configuração avançada, que gera um arquivo de fluxo de trabalho que pode ser editado para personalizar a code scanning com o CodeQL. Para saber mais, confira Como definir a configuração avançada para verificação de código.
Configurar o secret scanning
O Secret scanning está disponível para os seguintes repositórios:
- Repositórios públicos (grátis)
- Repositórios privados e internos em organizações que usam o GitHub Enterprise Cloud com GitHub Advanced Security habilitado
- Repositórios pertencentes ao usuário para GitHub Enterprise Cloud com Enterprise Managed Users
-
Na página principal do repositório, clique em Configurações.
-
Clique em Code security.
-
Se o GitHub Advanced Security ainda não estiver habilitado, clique em Habilitar.
-
Ao lado da Secret scanning, clique em Habilitar.
Definir uma política de segurança
Se você é um mantenedor de repositório, é uma boa prática especificar uma política de segurança para o repositório criando um arquivo chamado SECURITY.md
nele. Este arquivo instrui os usuários sobre a melhor forma de contatar e colaborar com você quando quiserem relatar vulnerabilidades de segurança em seu repositório. Você pode exibir a política de segurança de um repositório na guia Segurança dele.
- Na página principal do repositório, clique em Security.
- Clique em Política de segurança.
- Clique em Iniciar instalação.
- Adicione informações sobre versões compatíveis do seu projeto e como relatar vulnerabilidades.
Para saber mais, confira Adicionar uma política de segurança a um repositório.
Próximas etapas
Você pode visualizar e gerenciar alertas de funcionalidades de segurança para resolver dependências e vulnerabilidades no seu código. Para saber mais, confira Visualizando e atualizando alertas do Dependabot, Gerenciar pull requests para atualizações de dependências, Avaliar alertas de verificação de código para seu repositório e Gerenciar alertas da verificação de segredo.
Você também pode usar as ferramentas do GitHub para auditar respostas a alertas de segurança. Para saber mais, confira Alertas de segurança de auditoria.
Se você tiver uma vulnerabilidade de segurança em um repositório público, poderá criar uma consultoria de segurança para discutir em privado e corrigir a vulnerabilidade. Para saber mais, confira Sobre os avisos de segurança do repositório e Criando uma consultoria de segurança do repositório.
Se você usar GitHub Actions, poderá aproveitar os recursos de segurança do GitHub para aumentar a segurança de seus fluxos de trabalho. Para obter mais informações, confira "Usar os recursos de segurança do GitHub para proteger seu uso do GitHub Actions".