Skip to main content

Sobre a Segurança Avançada do GitHub

O GitHub disponibiliza funcionalidades extras de segurança aos clientes sob uma licença do Advanced Security. Esses recursos também estão habilitados para repositórios públicos.

Quem pode usar esse recurso?

O GitHub Advanced Security está disponível para contas corporativas no GitHub Enterprise Cloud e no GitHub Enterprise Server. Alguns recursos do GitHub Advanced Security também estão disponíveis para repositórios públicos no GitHub. Para obter mais informações, confira "Planos do GitHub."

Para obter informações sobre o GitHub Advanced Security for Azure DevOps, veja Configurar o GitHub Advanced Security for Azure DevOps no Microsoft Learn.

Sobre o GitHub Advanced Security

GitHub tem muitas funcionalidades que ajudam você a melhorar e manter a qualidade do seu código. Alguns deles estão incluídos em todos os planos, como o grafo de dependência e os Dependabot alerts. Outras funcionalidades de segurança exigem que o GitHub Advanced Security (GHAS) seja executado em repositórios, além de repositórios públicos no GitHub.com.

Para obter informações sobre como é possível testar o GitHub Advanced Security de forma gratuita, confira “Como configurar uma avaliação gratuita do GitHub Advanced Security”.

Para obter informações sobre como comprar uma licença do GitHub Advanced Security, confira Inscrever-se para GitHub Advanced Security.

Note

Se você quiser usar o GitHub Advanced Security com o Azure Repos, consulte GitHub Advanced Security e Azure DevOps em nosso site de recursos. Para obter a documentação, confira Configurar o GitHub Advanced Security for Azure DevOps no Microsoft Learn.

Sobre as funcionalidades de Advanced Security

Uma licença de GitHub Advanced Security fornece os seguintes recursos adicionais :

  • Code scanning – Procure possíveis vulnerabilidades de segurança e erros de codificação no código usando CodeQL ou uma ferramenta de terceiro. Confira Sobre a varredura de código e Sobre a varredura de código com CodeQL.

  • CodeQL CLI - Execute processos do CodeQL localmente em projetos de software ou para gerar resultados da code scanning para upload no GitHub Enterprise Cloud. Confira Sobre a CLI do CodeQL.

  • Secret scanning - Detectar segredos, por exemplo, chaves e tokens, que foram verificados no repositório. Se a proteção por push estiver habilitada, GitHub também detectará segredos quando eles forem enviados por push para o repositório. Alertas de verificação de segredo para usuários e proteção contra push estão disponíveis e são gratuitos para todos os repositórios públicos pertencentes ao usuário em GitHub.com. Confira Sobre a verificação de segredo e Sobre a proteção por push.

  • Regras de triagem automática personalizadas - Ajudar a gerenciar em escala seus dados Dependabot alerts. Com regras de triagem automática personalizadas você tem controle sobre os alertas que deseja ignorar, adiar ou acionar uma atualização de segurança para. Dependabot. Para obter mais informações, confira "Sobre alertas do Dependabot" e "Personalizando regras de triagem automática para priorizar alertas do Dependebot."

  • Revisão de dependência – Mostre o impacto total das alterações nas dependências e veja os detalhes de todas as versões vulneráveis antes de mesclar uma solicitação de pull. Confira Sobre a análise de dependência.

Com uma licença do GitHub Copilot Enterprise, você também pode pedir ajuda ao GitHub Copilot Chat para entender melhor os alertas de segurança nos repositórios de sua organização (code scanning, secret scanning e Dependabot alerts. Confira Como fazer perguntas ao GitHub Copilot no GitHub.

A tabela abaixo resume a disponibilidade dos recursos do GitHub Advanced Security para repositórios públicos e privados.

Repositório públicoRepositório privado
sem Advanced Security
Repositório privado
com Advanced Security
Varredura de código
CodeQL CLI
Verificação de segredo
Regras de triagem automática personalizadas
Análise de dependência

Para obter informações sobre os recursos do Advanced Security em desenvolvimento, confira Roteiro público do GitHub. Para obter uma visão geral de todos os recursos de segurança, confira Recursos de segurança do GitHub.

As funcionalidades de GitHub Advanced Security estão habilitadas para todos os repositórios públicos no GitHub.com. As organizações que usam GitHub Enterprise Cloud com Advanced Security também podem habilitar essas funcionalidades para repositórios internos e privados.

Implantando o GitHub Advanced Security na sua empresa

Saiba as informações necessárias para planejar sua implantação do GitHub Advanced Security de alto nível e revise as etapas de lançamento recomendadas em Adoção do GitHub Advanced Security em escala.

Habilitando funcionalidades de Advanced Security

Você pode habilitar rapidamente os recursos de segurança em escala com o GitHub-recommended security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar ainda mais os recursos do GitHub Advanced Security no nível da organização com global settings. Confira "Sobre a habilitação de recursos de segurança em escala".

Para repositórios públicos, esses recursos ficam permanentemente ativados e só poderão ser desabilitados se você alterar a visibilidade do projeto para que o código não seja mais público.

Para outros repositórios, uma vez que você tenha uma licença da conta empresarial, é possível habilitar e desabilitar essas funcionalidades no nível da organização ou repositório.

Confira Gerenciando as configurações de segurança e de análise da sua organização e Gerenciando as configurações de segurança e análise do repositório.

Se você tem uma conta empresarial, a utilização da licença para toda a empresa é exibida na página de licença corporativa. Confira Visualizar o seu uso do GitHub Advanced Security.

Sobre certificação em GitHub Advanced Security

Você pode aprimorar seus conhecimentos de segurança de código obtendo um certificado com GitHub Advanced Security com GitHub Certifications. A certificação valida sua experiência em identificação de vulnerabilidades, segurança de fluxos de trabalho e implementação de segurança robusta. Confira Sobre GitHub Certifications.

Leitura adicional