Gerenciando as configurações de segurança e análise do repositório

Você pode controlar recursos que protegem e analisam o código em seu projeto no GitHub.

Quem pode usar esse recurso?

People with admin permissions to a repository can manage security and analysis settings for the repository.

Neste artigo

Observação

Quando Dependabot alerts estiver habilitado ou desabilitado no nível empresarial, ele substituirá as configurações de nível de repositório para Dependabot alerts. Para saber mais, confira Configurando alertas do Dependabot.

Sobre as configurações de segurança e análise do repositório

O GitHub oferece uma série de recursos de segurança diferentes que você pode habilitar em seu repositório para proteger seu código contra vulnerabilidades, acesso não autorizado e outras possíveis ameaças à segurança. Muitos desses recursos estão disponíveis gratuitamente para repositórios públicos.

Habilitar ou desabilitar funcionalidades de segurança e análise para repositórios públicos

É possível gerenciar um subconjunto de recursos de segurança e análise para repositórios públicos.

No mínimo, você precisa habilitar o seguinte para seu repositório público:

  • Dependabot alerts notificam você sobre vulnerabilidades de segurança na rede de dependência do projeto, para que você possa atualizar a dependência afetada para uma versão mais segura.
  • O Secret scanning verifica seu repositório em busca de segredos (como chaves de API e tokens) e alerta você quando um é encontrado, para que você possa remover o segredo do repositório.
  • A proteção por push impede que você (e seus colaboradores) introduzam segredos no repositório, bloqueando pushes que contêm segredos compatíveis.
  • O Code scanning identifica vulnerabilidades e erros no código do repositório, para que você possa corrigir esses problemas antecipadamente e evitar que uma vulnerabilidade ou um erro seja explorado por atores mal-intencionados.

Outros recursos ficam habilitados permanentemente para repositórios públicos, como o grafo de dependência, que mostra todas as bibliotecas e pacotes dos quais seu repositório depende.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Advanced Security.

  4. Em "Advanced Security", à direita do recurso, clique em Desabilitar ou Habilitar.

Como habilitar ou desabilitar recursos de segurança e análise em repositórios privados

Você pode gerenciar os recursos de segurança e análise para o repositório privado ou interno. Se sua empresa ou organização tiver uma licença para GitHub Code Security ou GitHub Secret Protection, há outras opções disponíveis. Para saber mais, confira Sobre a Segurança Avançada do GitHub.

Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Advanced Security.

  4. Em "Advanced Security", à direita do recurso, clique em Desabilitar ou Habilitar. O controle do "Secret Protection and Code Security" fica desabilitado se você não tem licenças disponíveis do empresa.

    Observação

    Se você desabilitar o e o code scanning serão desabilitados. Todos os fluxos de trabalho, uploads de SARIF, ou chamadas de API para code scanning falharão. Se o Code Security for reabilitado, o code scanning retornará ao seu estado anterior.

Permitir acesso a alertas de segurança

Os alertas de segurança do GitHub são notificações automatizadas que informam quando vulnerabilidades são encontradas nas dependências ou no código do repositório. Eles solicitam que você examine e corrija esses problemas, ajudando a manter o projeto seguro.

Você pode encontrar alertas de segurança do Dependabot, do Secret scanning e do Code scanning na guia Security do repositório.

Os alertas de segurança de um repositório são visíveis para pessoas com acesso de gravação, manutenção ou administração ao repositório e, quando o repositório pertencer a uma organização, para os proprietários da organização. Você pode dar acesso aos alertas a outras equipes e pessoas.

Observação

Proprietários de organização e administradores de repositório só podem conceder acesso para exibir alertas de segurança, como alertas de verificação de segredo, para pessoas ou equipes com acesso de gravação ao repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Advanced Security.

  4. Em "Acesso aos alertas", no campo de pesquisa, comece a digitar o nome da pessoa ou equipe que você gostaria de encontrar e, em seguida, clique em um nome na lista de correspondências.

  5. Clique em Salvar alterações.

Remover o acesso aos alertas de segurança

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Advanced Security.

  4. Em "Acesso aos alertas", à direita da pessoa ou da equipe cujo acesso você deseja remover, clique em .

    Captura de tela da lista de usuários com acesso a alertas. À direita de @octocat, um ícone x é destacado em laranja escuro.

  5. Clique em Salvar alterações.

Leitura adicional