Skip to main content

Segurança no GitHub Codespaces

Visão geral da arquitetura de segurança GitHub Codespaces, com diretrizes para ajudar você a manter a segurança e minimizar o risco de ataque.

Visão geral da segurança do codespace

O GitHub Codespaces foi projetado para ser uma segurança mais rígida por padrão. Consequentemente, você deverá garantir que as suas práticas de desenvolvimento de software não corram o risco de reduzir a posição de segurança do seu codespace.

Este guia descreve a forma como o GitHub Codespaces mantêm seu ambiente de desenvolvimento seguro e fornece algumas das melhores práticas que ajudam a manter a segurança enquanto você trabalha. Como em qualquer ferramenta de desenvolvimento, lembre-se de que você só deve abrir e trabalhar em repositórios que você conhece e confia.

Isolamento de ambiente

O GitHub Codespaces foi projetado para manter seus codespaces separados um do outro, cada um usando sua própria máquina virtual e rede.

Máquinas virtuais isoladas

Cada código é hospedado na sua própria máquina virtual recém-construída (VM). Dois códigos nunca são colocalizados na mesma VM.

Toda vez que você reiniciar um codespace, ele será implantado em uma nova VM com as últimas atualizações de segurança disponíveis.

Rede isolada

Cada codespace tem a sua própria rede virtual isolada. Usamos firewalls para bloquear conexões recebidas da internet e impedir que os codespace se comuniquem entre si em redes internas. Por padrão, os codespace podem fazer conexões de saída na internet.

Autenticação

Você pode se conectar a um codespace usando um navegador da Web ou por meio do Visual Studio Code. Se você se conectar por meio do VS Code, será solicitado que você se autentique no GitHub Enterprise Cloud.

Toda vez que um codespace é criado ou reiniciado, atribui-se um novo token de GitHub com um período de vencimento automático. Este período permite que você trabalhe no código sem precisar efetuar a autenticação novamente durante um dia de trabalho típico, mas reduz a chance de deixar uma conexão aberta quando você parar de usar o codespace.

O escopo do token irá variar dependendo do acesso ao repositório onde o codespace foi criado:

  • Se você tiver acesso de gravação no repositório: o token terá como escopo o acesso de leitura/gravação no repositório.
  • Se você tiver acesso de leitura apenas no repositório: o token só permitirá que o código seja clonado do repositório de origem. Se você fizer um commit no codespace, o GitHub Codespaces criará automaticamente um fork do repositório ou vinculará o codespace a um fork existente se você já tiver um para o repositório upstream e o token será atualizado para ter acesso de leitura e gravação ao fork. Para obter mais informações, confira "Como usar o controle do código-fonte no seu codespace".
  • Se você autorizou seu codespace a acessar outros repositórios: o token terá como escopo o acesso de leitura ou leitura/gravação ao repositório de origem e a qualquer outro repositório ao qual você tenha autorizado o acesso. Para obter mais informações, veja "Gerenciando o acesso a outros repositórios em seu codespace".

Conexões de codespace

Você pode conectar-se ao seu codespace usando o túnel criptografado TLS fornecido pelo serviço do GitHub Codespaces. Somente o criador de um codespace pode conectar-se a um codespace. As conexões são autenticadas com GitHub Enterprise Cloud.

Se você precisar permitir acesso externo a serviços em execução em um codespace, você poderá habilitar o encaminhamento de portas para acesso público ou privado.

Encaminhamento de porta

Se você precisar conectar-se a um serviço (como um servidor web de desenvolvimento) em execução no seu codespace, você poderá configurar o encaminhamento de portas para tornar o serviço disponível na internet.

Os proprietários da organização podem restringir a capacidade de disponibilizar portas de encaminhamento publicamente ou na organização. Para obter mais informações, confira "Como restringir a visibilidade das portas encaminhadas".

Portas encaminhadas de modo privado: são acessíveis na Internet, mas somente o criador do codespace pode acessá-las, após a autenticação no GitHub Enterprise Cloud.

Portas encaminhadas publicamente na sua organização: são acessíveis na Internet, mas somente para os membros da mesma organização que o codespace, após a autenticação no GitHub Enterprise Cloud.

Portas encaminhadas publicamente: são acessíveis na Internet e qualquer pessoa na Internet pode acessá-las. Não é necessária autenticação para acessar portas públicas encaminhadas.

Todas as portas encaminhadas são privadas por padrão, o que significa que você precisará efetuar a autenticação antes de acessar a porta. O acesso às portas privadas encaminhadas por um codespace é controlado por cookies de autenticação, com um período de vencimento de 3 horas. Quando o cookie vencer, você deverá efetuar a autenticação novamente.

Uma porta pública encaminhada voltará automaticamente para a privada quando você remover e adicionar novamente a porta, ou se você reiniciar o codespace.

Você pode usar o painel "Portas" para configurar uma porta para acesso público ou privado, e você pode parar o encaminhamento de portas quando ela não for mais necessária. Para obter mais informações, confira "Como encaminhar portas no seu codespace".

Práticas recomendadas de segurança para seus codespaces

Os codespaces são projetados para ter segurança enrijecida por padrão. Para ajudar a manter esta postura, recomendamos que você siga as práticas recomendadas de segurança durante seus procedimentos de desenvolvimento:

  • Como em qualquer ferramenta de desenvolvimento, lembre-se de que você só deve abrir e trabalhar em repositórios que você conhece e confia.
  • Antes de adicionar novas dependências ao codespace, verifique se elas são bem mantidas e se lançam atualizações para corrigir quaisquer vulnerabilidades de segurança encontradas nos seus codespaces.

Usando segredos para acessar informações confidenciais

Sempre use segredos criptografados quando você deseja usar informações confidenciais (como tokens de acesso) em um codespace. Você pode acessar seus segredos como variáveis de ambiente no codespace, inclusive a partir do terminal. Por exemplo, você pode iniciar um terminal no codespace e usar echo $SECRET_NAME para ver o valor de um segredo.

Os valores de segredos são copiados em variáveis de ambiente sempre que o codespace é retomado ou criado e também são sincronizados quando eles são alterados.

Os segredos não serão copiados no ambiente quando você não tem acesso de gravação ao repositório do codespace.

Para mais informações sobre segredos, consulte:

Trabalhando com contribuições e repositórios de outras pessoas

Quando você cria um codespace a partir de um branch de PR a partir de uma bifurcação, o token na área do codespace irá variar dependendo se o repositório é público ou privado:

  • Para um repositório privado, o codespace recebe acesso tanto à bigurcação quanto ao principal.
  • Para um repositório público, o código só terá acesso à bifurcação e à abertura de PRs no principal.

Também oferecemos proteção adicional nesses cenários não injetando nenhum dos segredos do codespace no ambiente.

Práticas recomendadas adicionais

Há algumas boas práticas e riscos adicionais dos quais você deve estar ciente ao usar o GitHub Codespaces.

Compreendendo o arquivo devcontainer.json de um repositório

Quando você cria um codespace, se um arquivo devcontainer.json for encontrado para seu repositório, ele será analisado e usado para configurar o codespace. O arquivo devcontainer.json contém recursos avançados, como a instalação de extensões de terceiros e a execução de código arbitrário fornecido em um postCreateCommand.

Para obter mais informações, confira "Introdução aos contêineres de desenvolvimento".

Conceder acesso por meio de funcionalidades

Certos recursos de desenvolvimento podem potencialmente adicionar risco ao seu ambiente. Por exemplo, a assinatura, segredos injetados em variáveis de ambiente, acesso de registro autenticado e acesso a pacotes podem apresentar possíveis problemas de segurança. Recomendamos que se conceda acesso apenas àqueles que dela necessitem e que se adote uma política que seja o mais restritiva possível.

Como usar extensões

Qualquer extensão adicional do VS Code que você tenha instalado tem o potencial de introduzir mais risco. Para ajudar a mitigar esse risco, certifique-se de que você só instale extensões confiáveis, e que elas sejam sempre atualizadas.

Como Usar a Sincronização de Configurações

A Sincronização de Configurações do VS Code pode permitir que conteúdo potencialmente mal-intencionado seja transferido entre dispositivos. Se estiver criando um codespace para um repositório em cujo conteúdo você não confia, abra o codespace no navegador e deixe a Sincronização de Configurações desabilitada.