Skip to main content

Gerenciando as configurações de segurança e de análise da sua organização

Você pode controlar recursos que protegem e analisam o código nos projetos da sua organização no GitHub.

Quem pode usar esse recurso?

Organization owners can manage security and analysis settings for repositories in the organization.

Sobre a gestão de configurações de segurança e análise

O GitHub pode ajudar você a proteger os repositórios na sua organização. É possível gerenciar os recursos de segurança e análise para todos os repositórios existentes ou novos que os integrantes criarem na sua organização. Se você tiver uma licença para GitHub Advanced Security, você também poderá gerenciar o acesso a essas funcionalidades. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Se sua organização pertencer a uma empresa com uma licença da GitHub Advanced Security, opções extras para gerenciar configurações de segurança e análise poderão estar disponíveis. Para obter mais informações, confira "Como gerenciar os recursos do GitHub Advanced Security na empresa".

Observação: você não pode desabilitar alguns recursos de segurança e análise que estão habilitados por padrão em repositórios públicos.

Você pode habilitar recursos de segurança em larga escala rapidamente com o GitHub-recommended security configuration, uma coleção de configurações de ativação de segurança que podem ser aplicadas a repositórios em uma organização. Você pode personalizar ainda mais os recursos do GitHub Advanced Security no nível da organização com global settings. Confira "Sobre a habilitação de recursos de segurança em escala".

Observação: Security configurations e global settings estão em beta e sujeito a mudanças.

Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.

Exibir as configurações de segurança e análise

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.

  2. Ao lado da organização, clique em Configurações.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

    Note

    If your organization is enrolled in the security configurations and global settings public beta, instead of "Code security and analysis", you will see a Code security dropdown menu. You can manage your repository-level security settings with security configurations, and your organization-level security settings with global settings. See "Aplicação da configuração de segurança recomendada pelo GitHub em sua organização" and "Configurações de segurança globais para sua organização."

A página exibida permite que você habilite ou desabilite todas as funcionalidades de segurança e análise dos repositórios na sua organização.

Se a sua organização pertence a uma empresa com uma licença para GitHub Advanced Security, a página também conterá opções para habilitar e desabilitar funcionalidades do Advanced Security. Todos os repositórios que usam GitHub Advanced Security estão listados na parte inferior da página.

Como habilitar ou desabilitar um recurso para todos os repositórios existentes

Você pode habilitar ou desabilitar funcionalidades para todos os repositórios. O impacto de suas alterações nos repositórios da organização é determinado pela visibilidade:

  • Relatórios privados de vulnerabilidades – suas alterações afetam apenas os repositórios públicos.

  • Grafo de dependência – Suas alterações afetam apenas repositórios privados porque a funcionalidade está sempre habilitada para repositórios públicos.

  • Dependabot alerts – Suas alterações afetam todos os repositórios.

  • Dependabot security updates – Suas alterações afetam todos os repositórios.

  • GitHub Advanced Security – As suas alterações afetam apenas repositórios privados, porque GitHub Advanced Security e as funcionalidades relacionadas estão sempre habilitadas em repositórios públicos.

  • Secret scanning – Suas alterações afetam repositórios públicos e repositórios privados ou internos em que o GitHub Advanced Security está habilitado. Essa opção controla se o alertas de verificação de segredo para usuários está ou não habilitado. Alertas de verificação de segredo para parceiros sempre é executado em todos os repositórios públicos.

  • Code scanning – suas alterações afetam os repositórios públicos e privados ou internos em que a GitHub Advanced Security está habilitada. Para obter informações sobre repositórios qualificados, confira Como definir a configuração padrão da verificação de código em escala. Em repositórios que não são qualificados para a configuração padrão, você pode definir a configuração avançada no nível do repositório. Para obter mais informações, confira "Como definir a configuração avançada para verificação de código".

Use a visão geral de segurança para encontrar um conjunto de repositórios e habilitar ou desabilitar recursos de segurança para todos eles ao mesmo tempo. Para obter mais informações, confira "Como habilitar recursos de segurança para vários repositórios".

Observação: se você habilitar o GitHub Advanced Security, os committers ativos desses repositórios usarão estações do GitHub Advanced Security. Essa opção estará desabilitada se você tiver excedido a capacidade da sua licença. Para mais informações, confira "Sobre o faturamento da Segurança Avançada do GitHub".

Observação: se você encontrar o erro o "GitHub Advanced Security não pode ser habilitado devido a uma configuração de política da organização", entre em contato com o admin corporativo e peça que eles alterem a política do GitHub Advanced Security da empresa. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".

Nota: quando Dependabot alerts estiver habilitado ou desabilitado no nível empresarial, ele substituirá as configurações de nível de organização para Dependabot alerts. Para obter mais informações, confira "Configurando alertas do Dependabot".

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".

  2. Em "Segurança e análise de código", à direita do recurso, clique em Desabilitar tudo ou Habilitar tudo para exibir uma caixa de diálogo de confirmação. O controle da "GitHub Advanced Security" ficará desabilitado se você não tiver licenças disponíveis para o GitHub Advanced Security.

  3. Examine as informações na caixa de diálogo.

  4. Opcionalmente, se estiver ativando relatórios de vulnerabilidade privada, gráfico de dependência ou Dependabot, selecione Habilitar por padrão para novos repositórios privados.

    Captura de tela da caixa de diálogo modal "Habilitar RECURSO", com a opção "Habilitar por padrão para novos repositórios privados" realçada e com o contorno em laranja escuro.

  5. Quando estiver pronto para fazer as alterações, clique em Desabilitar RECURSO ou em Habilitar RECURSO para habilitar ou desabilitar o recurso em todos os repositórios da sua organização.

  6. Opcionalmente, na seção das configurações de segurança e análise do seu recurso, selecione configurações adicionais de habilitação. As configurações adicionais de habilitação podem incluir:

    • Habilitação automática para um tipo específico de repositório
    • Configurações específicas de recursos, como recomendar o conjunto de consultas estendidas para a configuração padrão do code scanning em toda a organização ou validação automática de segredos para o secret scanning

    Observações:

    • Se você desabilitar CodeQL code scanning em todos os repositórios, essa alteração não será refletida nas informações de cobertura mostradas na visão geral de segurança da organização. Vai parecer que os repositórios continuam com o code scanning habilitado na exibição "Cobertura de Segurança".
    • A habilitação da code scanning para todos os repositórios qualificados em uma organização não substituirá as configurações existentes do code scanning. Para saber como definir a configuração padrão com opções diferentes para repositórios específicos, confira "Como definir a configuração padrão da verificação de código" e "Como definir a configuração padrão da verificação de código em escala."

Ao habilitar uma ou mais funcionalidades de segurança e análise para repositórios existentes, você verá todos os resultados exibidos em GitHub dentro de minutos:

  • Todos os repositórios existentes terão a configuração selecionada.
  • Os novos repositórios seguirão a configuração selecionada se você tiver habilitado a caixa de seleção de novos repositórios.
  • Usamos as permissões para digitalizar arquivos de manifesto para aplicar os serviços relevantes.
  • Se habilitado, você verá informações de dependência no grafo de dependência.
  • Se essa opção for habilitada, o GitHub vai gerar Dependabot alerts para dependências vulneráveis ou malware.
  • Se habilitado, as atualizações de segurança Dependabot criarão solicitações de pull para atualizar dependências vulneráveis quando Dependabot alerts são disparados.

Habilitar ou desabilitar uma funcionalidade automaticamente quando novos repositórios forem adicionados

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".
  2. Em "Segurança e análise de código", localize o recurso, habilite ou desabilite o recurso por padrão para novos repositórios, ou todos os novos repositórios privados, na sua organização.

Permitir que o Dependabot obtenha acesso a dependências privadas ou internas

Dependabot pode verificar referências de dependências desatualizadas em um projeto e gerar automaticamente um pull request para atualizá-las. Para fazer isso, Dependabot deve ter acesso a todos os arquivos de dependência de destino. Normalmente, atualizações da versão falharão se uma ou mais dependências forem inacessíveis. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".

Por padrão, o Dependabot não pode atualizar dependências localizadas em repositórios privados ou internos, ou em registros de pacotes privados ou internos. No entanto, se uma dependência estiver em um repositório privado ou interno GitHub na mesma organização do projeto que usa essa dependência, você poderá permitir que o Dependabot realize atualizações da versão com êxito ao conceder o acesso ao repositório de hospedagem.

Se o seu código depende de pacotes em um registro privado ou interno, você pode permitir que o Dependabot realize atualizações das versões dessas dependências ao configurar isso no nível do repositório. Você faz isso adicionando detalhes de autenticação ao arquivo dependabot.yml do repositório. Para obter mais informações, confira "Opções de configuração para o arquivo dependabot.yml".

Observação: para que a opção de conceder acesso ao Dependabot a repositórios privados ou internos esteja disponível, você precisa que Dependabot version updates ou Dependabot security updates estejam habilitadas em, no mínimo, um repositório da organização.

Para permitir que o Dependabot obtenha acesso a um repositório privado ou interno GitHub:

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".

  2. Em “Conceder acesso ao repositório privado para o Dependabot”, clique em Adicionar Repositórios Internos e Privados para exibir um campo de pesquisa de repositório.

    Captura de tela da lista suspensa que você pode usar para pesquisar repositórios. Conforme você digita, os repositórios cujo nome corresponde aos critérios de pesquisa aparecerão na lista. O campo do texto de pesquisa é realçado com um contorno laranja escuro.

  3. Comece a digitar o nome do repositório ao qual você deseja que o Dependabot tenha acesso.

  4. Uma lista de repositórios correspondentes na organização é exibida; selecione o repositório ao qual você deseja permitir o acesso e isso adicionará o repositório à lista de permissões.

  5. Opcionalmente, para remover um repositório da lista, à direita do repositório, clique em .

Permitir verificações de validade para padrões de parceiros em uma organização

Note

As verificações de validade para padrões de parceiros estão em versão beta e sujeitas a alterações.

As verificações de validade para padrões de parceiros estão disponíveis em todos os tipos de repositórios GitHub.com. Para usar esse recurso, você deve ter uma licença para GitHub Advanced Security.

Você pode permitir que o secret scanning verifique automaticamente a validade de um segredo enviando-o ao parceiro relevante. Quando você marca a caixa de seleção nas configurações da organização, o recurso é habilitado para todos os repositórios na organização. Como alternativa, você pode habilitar a verificação de validade para um único repositório ou no nível corporativo. Para obter mais informações, confira "Configurar a verificação de segredo para seus repositórios" e "Como gerenciar os recursos do GitHub Advanced Security na empresa."

Também é possível usar a API REST para habilitar verificações de validade para padrões de parceiros para sua organização. Para obter mais informações, confira "Pontos de extremidade de API REST para organizações".

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".
  2. Em Secret scanning, marque a caixa de seleção ao lado da opção "Verificar automaticamente se um segredo é válido enviando-o ao parceiro relevante".

Remover acesso a GitHub Advanced Security de repositórios individuais em uma organização

Você pode gerenciar o acesso a funcionalidades de GitHub Advanced Security para um repositório na aba "Configurações". Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório". No entanto, você também pode desabilitar funcionalidades de GitHub Advanced Security para um repositório na aba "Configurações" da organização.

  1. Vá para as configurações de segurança e análise da sua organização. Para obter mais informações, confira "Como exibir as configurações de segurança e análise".
  2. Para ver uma lista de todos os repositórios na sua organização com GitHub Advanced Security habilitados, desça até a seção "repositórios de GitHub Advanced Security".

A tabela lista o número de responsáveis por commit exclusivos de cada repositório. Esse é o número de licenças que você pode liberar removendo o acesso ao GitHub Advanced Security. Para obter mais informações, confira "Sobre o faturamento da Segurança Avançada do GitHub".

  1. Para remover acesso ao GitHub Advanced Security de um repositório e liberar licenças usadas por todos os committers que são exclusivos do repositório, clique no adjacente.
  2. Na caixa de diálogo de confirmação, clique em Remover repositório para remover o acesso aos recursos do GitHub Advanced Security.

Observação: se você remover o acesso ao GitHub Advanced Security de um repositório, deverá se comunicar com a equipe de desenvolvimento afetada para que eles saibam que a alteração foi intencional. Isso garante que eles não perderão tempo corrigindo execuções falhas de varredura de código.

Leitura adicional