Guias para segurança do código
Saiba mais sobre as diferentes maneiras que GitHub Enterprise Cloud pode ajudar você a melhorar a segurança do seu código.
Corrigir e revelar uma vulnerabilidade de segurança
Usando consultorias de segurança do repositório para corrigir de forma privada uma vulnerabilidade relatada e obter um CVE.Iniciar roteiro de aprendizagem- 1Visão geral
Sobre a divulgação coordenada de vulnerabilidades de segurança
A divulgação das vulnerabilidades é um esforço coordenado entre os relatores de segurança e os mantenedores de repositório. - 2Visão geral
Sobre o banco de dados de avisos do GitHub
O GitHub Advisory Database contém uma lista de vulnerabilidades de segurança e conhecidas e malwares, agrupados em duas categorias: avisos examinados pelo GitHub e avisos não examinados. - 3Visão geral
Sobre os avisos de segurança global
Os alertas globais de segurança estão no GitHub Advisory Database, uma coleção de CVEs e alertas gerados pela GitHub que afetam o mundo do código aberto. É possível contribuir para melhorar os avisos globais. - 4Visão geral
Sobre os avisos de segurança do repositório
Você pode usar avisos de segurança do repositório para discutir de maneira privada, corrigir e publicar informações sobre vulnerabilidades de segurança em seu repositório. - 5Guia de instruções
Melhores práticas para escrever avisos de segurança do repositório
Quando você cria ou edita avisos de segurança, os outros usuários conseguem entender melhor as informações fornecidas quando são especificados o ecossistema, o nome do pacote e as versões afetadas usando os formatos padrão. - 6Guia de instruções
Como relatar de modo privado uma vulnerabilidade de segurança
Alguns repositórios públicos configuram avisos de segurança para que qualquer pessoa possa relatar vulnerabilidades de segurança de modo direto e privado aos mantenedores. - 7Guia de instruções
Gerenciar vulnerabilidades de segurança relatadas privadamente
Os responsáveis pela manutenção dos repositórios podem gerenciar vulnerabilidades de segurança relatadas de maneira privada por pesquisadores de segurança com relação a repositórios em que há relatórios privados de vulnerabilidade habilitados. - 8Guia de instruções
Como configurar relatórios privados de vulnerabilidades em um repositório
Os proprietários e os administradores de repositórios públicos podem permitir que os pesquisadores de segurança relatem as vulnerabilidades com segurança no repositório habilitando os relatórios privados de vulnerabilidades. - 9Guia de instruções
Configurar relatórios privados de vulnerabilidades em uma organização
Os proprietários da organização e os gerentes de segurança podem permitir que os pesquisadores de segurança relatem vulnerabilidades com segurança em repositórios dentro da organização habilitando relatórios privados de vulnerabilidade para todos os seus repositórios públicos. - 10Guia de instruções
Criando uma consultoria de segurança do repositório
Você pode criar um projeto de consultoria de segurança para discutir e corrigir de forma privada uma vulnerabilidade de segurança no seu projeto de código aberto. - 11Guia de instruções
Adicionando um colaborador a uma consultoria de segurança de repositório
É possível adicionar outros usuários ou equipes para colaborar em uma consultoria de segurança com você. - 12Guia de instruções
Colaborando em uma bifurcação privada temporária para resolver uma vulnerabilidade de segurança do repositório
Você pode criar uma bifurcação privada temporária para colaborar de maneira privada na correção de uma vulnerabilidade de segurança em seu repositório. - 13Guia de instruções
Publicando uma consultoria de segurança do repositório
Você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre uma vulnerabilidade de segurança no seu projeto. - 14Guia de instruções
Editando uma consultoria de segurança do repositório
Você pode editar os metadados e a descrição de uma consultoria de segurança do repositório, se precisar atualizar detalhes ou corrigir erros. - 15Guia de instruções
Retirando uma consultoria de segurança do repositório
Você pode retirar uma consultoria de segurança do repositório que você publicou. - 16Guia de instruções
Removendo um colaborador de uma consultoria de segurança de repositório
Ao remover um colaborador de uma consultoria de segurança do repositório, ele perderá acesso de leitura e gravação às discussões e metadados da consultoria de segurança.
Roteiros de aprendizagem de Code security
Obter notificações para dependências inseguras
Configure o Dependabot para alertar sobre novas vulnerabilidades ou malware em suas dependências.
Obtenha pull requests para atualizar suas dependências vulneráveis
Configurar o Dependabot para criar pull requests quando novas vulnerabilidades forem relatadas.
Mantenha suas dependências atualizadas
Use o Dependabot para verificar novas versões e criar pull requests para atualizar suas dependências.
Explore e gerencie alertas de segurança
Saiba onde encontrar e resolver alertas de segurança.
Escanear em busca de segredos
Configure a varredura de segredo para evitar verificações acidentais de tokens, senhas e outros segredos do seu repositório.
Execute digitalização de código com GitHub Actions
Verifique seu branch padrão e cada pull request para manter vulnerabilidades e erros fora do repositório.
Execute a varredura de código CodeQL na sua CI
Configure o CodeQL dentro da sua CI existente e faça o upload dos resultados para a varredura de código do GitHub.
Integrar com a verificação de código
Fazer o upload de resultados da análise de código de sistemas de terceiros para o GitHub usando o SARIF.
Cadeia de suprimentos de ponta a ponta
Como pensar em proteger suas contas de usuário, seu código e seu processo de criação.
Todos os guias de Code security
Adicionar uma política de segurança a um repositório
Guia de instruçõesVocê pode dar instruções sobre como relatar uma vulnerabilidade de segurança no seu projeto, adicionando uma política de segurança ao seu repositório.
- Security policies
- Vulnerabilities
- Repositories
- Health
Recursos de segurança do GitHub
Visão geralUma visão geral das funcionalidades de segurança de GitHub
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Como proteger sua organização
Guia de instruçõesVocê pode usar uma série de funcionalidades de GitHub para ajudar a manter a sua organização protegida.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Proteger o repositório
Guia de instruçõesVocê pode usar uma série de funcionalidades de GitHub para ajudar a manter seu repositório protegido.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Alertas de segurança de auditoria
Visão geralGitHub fornece várias ferramentas que você pode usar para fazer a auditoria e monitorar as ações executadas em resposta a alertas de segurança.
- Repositories
- Dependencies
- Vulnerabilities
- Security
- Advanced Security
Sobre a verificação de segredo
Visão geralO GitHub Enterprise Cloud verifica repositórios em busca de tipos de segredos conhecidos a fim de impedir o uso fraudulento de segredos que sofreram commit acidentalmente.
- Secret scanning
- Advanced Security
Configurar a verificação de segredo para seus repositórios
Guia de instruçõesVocê pode configurar como o GitHub verifica seus repositórios em busca de segredos vazados e alertas gerados.
- Secret scanning
- Advanced Security
- Repositories
Definir padrões personalizados para a verificação de segredo
Guia de instruçõesÉ possível estender o secret scanning para detectar segredos além dos padrões predefinidos.
- Advanced Security
- Secret scanning
Gerenciar alertas da verificação de segredo
Guia de instruçõesVocê pode visualizar e fechar alertas de segredos verificados para seu repositório.
- Secret scanning
- Advanced Security
- Alerts
- Repositories