Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Proteger o repositório

Você pode usar uma série de funcionalidades de GitHub para ajudar a manter seu repositório protegido.

Repository administrators and organization owners can configure repository security settings.

Introdução

Este guia mostra como configurar as funcionalidades de segurança para um repositório. Você deve ser um administrador ou proprietário da organização do repositório para definir as configurações de segurança para um repositório.

As suas necessidades de segurança são únicas para o seu repositório. Portanto, talvez não seja necessário habilitar todos os recursos para o seu repositório. Para obter mais informações, consulte "Funcionalidades de segurança de GitHub".

Some features are available for repositories on all plans. Additional features are available to enterprises that use Segurança Avançada GitHub. Segurança Avançada GitHub features are also enabled for all public repositories on GitHub.com. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub".

Fixar um problema no repositório

O primeiro passo para proteger um repositório é configurar quem pode ver e modificar o seu código. Para obter mais informações, consulte "Gerenciar configurações do repositório".

Na página principal do seu repositório, clique em configuraçõese, em seguida, desça a barra de rolagem até a "Zona de perigo".

Definir uma política de segurança

  1. Na página principal do repositório, clique em Segurança.
  2. Clique em Política de segurança.
  3. Clique em Start setup (Iniciar configuração).
  4. Adicione informações sobre versões compatíveis do seu projeto e como relatar vulnerabilidades.

Para obter mais informações, consulte "Adicionar uma política de segurança ao seu repositório".

Gerenciar o gráfico de dependências

O gráfico de dependências é gerado automaticamente para todos os repositórios públicos e você pode optar por habilitá-lo para repositórios privados. Ele interpreta o manifesto e os arquivos de bloqueio em um repositório para identificar dependências.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Segurança & análise.
  3. Ao lado do gráfico de dependência, clique em Habilitar ou Desabilitar.

Para obter mais informações, consulte "Explorar as dependências de um repositório".

Gerenciar Alertas do Dependabot

Alertas do Dependabot são gerados quando GitHub identifica uma dependência no gráfico de dependências com uma vulnerabilidade. Você pode habilitar Alertas do Dependabot para qualquer repositório.

  1. Clique na foto do seu perfil e clique em Configurações.
  2. Clique em Segurança & análise.
  3. Clique em Habilitar todos ao lado de Alertas do Dependabot.

Para obter mais informações, consulte "Sobre Alertas do Dependabot" e "Gerenciando configurações de segurança e análise da sua conta pessoal".

Gerenciando revisão de dependências

A revisão de dependências permite visualizar alterações de dependência em pull requests antes de serem mescladas nos seus repositórios. Para obter mais informações, consulte "Sobre a revisão de dependências".

A revisão de dependência é um recurso de Segurança Avançada GitHub. A revisão de Dependência já está habilitada para todos os repositórios públicos. Para habilitar a revisão de dependências para um repositório privado ou interno , assegure que o gráfico de dependências esteja habilitado e habilite Segurança Avançada GitHub.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Segurança & análise.
  3. Se o gráfico de dependências não estiver habilitado, clique em Ativar.
  4. Se Segurança Avançada GitHub não estiver habilitado, clique em Habilitar.

Gerenciar Atualizações de segurança do Dependabot

Para qualquer repositório que usar Alertas do Dependabot, você pode habilitar Atualizações de segurança do Dependabot para abrir pull requests com atualizações de segurança quando forem detectadas vulnerabilidades.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Segurança & análise.
  3. Próximo a Atualizações de segurança do Dependabot, clique em Habilitar.

Para obter mais informações, consulte "Sobre Atualizações de segurança do Dependabot" e "Configurando Atualizações de segurança do Dependabot".

Gerenciar Atualizações de versão do Dependabot

Você pode habilitar Dependabot para aumentar automaticamente os pull requests para manter suas dependências atualizadas. Para obter mais informações, consulte "Sobre Atualizações de versão do Dependabot".

Para habilitar Atualizações de versão do Dependabot, você deve criar um arquivo de configuração dependabot.yml. Para obter mais informações, consulte "Configurando as atualizações da versão de Dependabot".

Configurar o Varredura de código;

Você pode configurar Varredura de código para identificar automaticamente vulnerabilidades e erros no código armazenado no seu repositório usando uma ferramenta de Fluxo de trabalho de análise do CodeQL ou de terceiros. Para obter mais informações, consulte "Configurar Varredura de código para um repositório".

Varredura de código está disponível para todos os repositórios públicos e para os repositórios privados pertencentes a organizações que fazem parte de uma empresa com uma licença para Segurança Avançada GitHub.

Configurar o varredura secreta

Varredura secreta está habilitado para todos os repositórios públicos e está disponível para repositórios privados pertencentes a organizações que fazem parte de uma empresa com uma licença para Segurança Avançada GitHub. Varredura secreta pode já estar habilitado para o repositório, dependendo das configurações da sua organização.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Segurança & análise.
  3. Se Segurança Avançada GitHub não estiver habilitado, clique em Habilitar.
  4. Próximo a Varredura secreta, clique em Habilitar.

Próximas etapas

Você pode visualizar e gerenciar alertas de funcionalidades de segurança para resolver dependências e vulnerabilidades no seu código. Para obter mais informações, consulte "Visualizando Alertas do Dependabot para dependências vulneráveis, "Gerenciando pull requests para atualizações de dependências, "Gerenciando Varredura de código para o seu repositório" e "Gerenciando alertas de varredura secreta."

Se você tiver uma vulnerabilidade de segurança, você poderá criar uma consultoria de segurança para discutir em privado e corrigir a vulnerabilidade. Para obter mais informações, consulte "Sobre Aviso de Segurança do GitHub" e " "Criar uma consultoria de segurança".