Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Gerenciando as configurações de segurança e de análise da sua organização

Você pode controlar recursos que protegem e analisam o código nos projetos da sua organização no GitHub.

Who can use this feature

Organization owners can manage security and analysis settings for repositories in the organization.

Sobre a gestão de configurações de segurança e análise

O GitHub pode ajudar a proteger os repositórios na sua organização. É possível gerenciar os recursos de segurança e análise para todos os repositórios existentes ou novos que os integrantes criarem na sua organização. Se você tiver uma licença para GitHub Advanced Security, você também poderá gerenciar o acesso a essas funcionalidades. Para obter mais informações, confira "About GitHub Advanced Security".

Observação: você não pode desabilitar alguns recursos de segurança e análise que estão habilitados por padrão em repositórios públicos.

Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório. Para obter mais informações, confira "[AUTOTITLE](/get-started/privacy-on-github/about-githubs-use-of-your-data)".

Exibir as configurações de segurança e análise

  1. No canto superior direito do GitHub.com, clique na foto do seu perfil e clique em Suas organizações.

    Captura de tela do menu suspenso na imagem de perfil do @octocat. "Suas organizações" está contornado em laranja escuro. 2. Ao lado da organização, clique em Configurações. Botão de configurações

  2. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

A página exibida permite que você habilite ou desabilite todas as funcionalidades de segurança e análise dos repositórios na sua organização.

Se a sua organização pertence a uma empresa com uma licença para GitHub Advanced Security, a página também conterá opções para habilitar e desabilitar funcionalidades do Advanced Security. Todos os repositórios que usam GitHub Advanced Security estão listados na parte inferior da página.

Como habilitar ou desabilitar um recurso para todos os repositórios existentes

Você pode habilitar ou desabilitar funcionalidades para todos os repositórios. O impacto de suas alterações nos repositórios da organização é determinado pela visibilidade:

  • Relatórios privados de vulnerabilidades – suas alterações afetam apenas os repositórios públicos.
  • Grafo de dependência – Suas alterações afetam apenas repositórios privados porque a funcionalidade está sempre habilitada para repositórios públicos.
  • Dependabot alerts – Suas alterações afetam todos os repositórios.
  • Dependabot security updates – Suas alterações afetam todos os repositórios.
  • GitHub Advanced Security – As suas alterações afetam apenas repositórios privados, porque GitHub Advanced Security e as funcionalidades relacionadas estão sempre habilitadas em repositórios públicos.
  • Secret scanning – Suas alterações afetam repositórios públicos e repositórios privados ou internos em que o GitHub Advanced Security está habilitado. Essa opção controla se o alertas de verificação de segredo para usuários está ou não habilitado. Alertas de verificação de segredo para parceiros sempre é executado em todos os repositórios públicos.

Observação: se você habilitar o GitHub Advanced Security, os committers ativos desses repositórios usarão estações do GitHub Advanced Security. Essa opção estará desabilitada se você tiver excedido a capacidade da sua licença. Para obter mais informações, confira "Sobre a cobrança do GitHub Advanced Security".

Observação: se você encontrar o erro o "GitHub Advanced Security não pode ser habilitado devido a uma configuração de política da organização", entre em contato com o admin corporativo e peça que eles alterem a política do GitHub Advanced Security da empresa. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".

Nota: quando Dependabot alerts estiver habilitado ou desabilitado no nível empresarial, ele substituirá as configurações de nível de organização para Dependabot alerts. Para obter mais informações, confira "Configurando alertas do Dependabot".

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".
  2. Em "Segurança e análise de código", à direita do recurso, clique em Desabilitar tudo ou Habilitar tudo. O controle de "GitHub Advanced Security" será desabilitado se você não tiver estações de licenças do GitHub Advanced Security. Botão "Habilitar tudo" ou "Desabilitar tudo" dos recursos de "Configurar segurança e análise"
  3. Opcionalmente, habilite o recurso para novos repositórios na organização por padrão. Opção "Habilitar por padrão" para novos repositórios
  4. Clique em Desabilitar RECURSO ou em Habilitar RECURSO para habilitar ou desabilitar o recurso em todos os repositórios em sua organização.

Ao habilitar uma ou mais funcionalidades de segurança e análise para repositórios existentes, você verá todos os resultados exibidos em GitHub dentro de minutos:

  • Todos os repositórios existentes terão a configuração selecionada.
  • Os novos repositórios seguirão a configuração selecionada se você tiver habilitado a caixa de seleção de novos repositórios.
  • Usamos as permissões para digitalizar arquivos de manifesto para aplicar os serviços relevantes.
  • Se habilitado, você verá informações de dependência no grafo de dependência.
  • Se essa opção for habilitada, o GitHub vai gerar Dependabot alerts para dependências vulneráveis ou malware.
  • Se habilitado, as atualizações de segurança Dependabot criarão solicitações de pull para atualizar dependências vulneráveis quando Dependabot alerts são disparados.

Habilitar ou desabilitar uma funcionalidade automaticamente quando novos repositórios forem adicionados

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".
  2. Em "Segurança e análise de código", à direita do revurso, habilite ou desabilite o recurso por padrão para novos repositórios, ou todos os novos repositórios privados, na sua organização. Captura de tela de uma caixa de seleção usada para habilitar um recurso em novos repositórios

Permitir que Dependabot acesse dependências privadas

Dependabot pode verificar referências de dependências desatualizadas em um projeto e gerar automaticamente um pull request para atualizá-las. Para fazer isso, Dependabot deve ter acesso a todos os arquivos de dependência de destino. Normalmente, atualizações da versão irão falhar se uma ou mais dependências forem inacessíveis. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".

Por padrão, Dependabot não pode atualizar as dependências que estão localizadas em repositórios privados ou registros de pacotes privados. Entretanto, se uma dependência estiver em um repositório privado de GitHub dentro da mesma organização que o projeto que usa essa dependência, você pode permitir que Dependabot atualize a versão com sucesso, dando-lhe acesso à hospedagem do repositório.

Se seu código depende de pacotes em um registro privado, você pode permitir que Dependabot atualize as versões dessas dependências configurando isso no nível do repositório. Você faz isso adicionando detalhes de autenticação ao arquivo dependabot.yml do repositório. Para obter mais informações, confira "Configuration options for the dependabot.yml file".

Para permitir que Dependabot acesse um repositório privado de GitHub:

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".

  2. Em "Acesso ao repositório privado do Dependabot", clique em Adicionar repositórios privados ou Adicionar repositórios internos e privados. Botão para adicionar repositórios

  3. Comece a digitar o nome do repositório que deseja permitir. Campo de pesquisa do repositório com menu suspenso filtrado

  4. Clique no repositório que deseja permitir.

  5. Opcionalmente, para remover um repositório da lista, à direita do repositório, clique em . Botão "X" para remover um repositório

Remover acesso a GitHub Advanced Security de repositórios individuais em uma organização

Você pode gerenciar o acesso a funcionalidades de GitHub Advanced Security para um repositório na aba "Configurações". Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório". No entanto, você também pode desabilitar funcionalidades de GitHub Advanced Security para um repositório na aba "Configurações" da organização.

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".
  2. Para ver uma lista de todos os repositórios na sua organização com GitHub Advanced Security habilitados, desça até a seção "repositórios de GitHub Advanced Security". Seção de repositórios do GitHub Advanced Security A tabela lista o número de committers exclusivos de cada repositório. Esse é o número de licenças que você pode liberar removendo o acesso ao GitHub Advanced Security. Para obter mais informações, confira "Sobre o faturamento da Segurança Avançada do GitHub".
  3. Para remover acesso ao GitHub Advanced Security de um repositório e liberar licenças usadas por todos os committers que são exclusivos do repositório, clique no adjacente.
  4. Na caixa de diálogo de confirmação, clique em Remover repositório para remover o acesso aos recursos do GitHub Advanced Security.

Observação: se você remover o acesso ao GitHub Advanced Security de um repositório, deverá se comunicar com a equipe de desenvolvimento afetada para que eles saibam que a alteração foi intencional. Isso garante que eles não perderão tempo corrigindo execuções falhas de varredura de código.

Leitura adicional