Gerenciando as configurações de segurança e análise do repositório

Obter notificações para dependências inseguras

2 de 8 no roteiro de aprendizagem
Avançar:Visualizando e atualizando alertas do Dependabot

Neste artigo

Você pode controlar recursos que protegem e analisam o código em seu projeto no GitHub.

Quem pode usar esse recurso

People with admin permissions to a repository can manage security and analysis settings for the repository.

Nota: quando Dependabot alerts estiver habilitado ou desabilitado no nível empresarial, ele substituirá as configurações de nível de repositório para Dependabot alerts. Para obter mais informações, confira "Configurando alertas do Dependabot".

Habilitar ou desabilitar funcionalidades de segurança e análise para repositórios públicos

É possível gerenciar um subconjunto de recursos de segurança e análise para repositórios públicos. Outros recursos são habilitados permanentemente, incluindo o grafo de dependência e alertas de verificação de segredo para parceiros.

  1. No GitHub.com, navegue até a página principal do repositório.
  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
  4. Em "Segurança e análise de código", à direita do recurso, clique em Desabilitar ou Habilitar.

Como habilitar ou desabilitar recursos de segurança e análise em repositórios privados

Você pode administrar as funcionalidades de segurança e análise para o seu repositórioprivado ou interno . Se a sua organização pertencer a uma empresa que tem uma licença para GitHub Advanced Security, haverá opções adicionais disponíveis. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Em "Segurança e análise de código", à direita do recurso, clique em Desabilitar ou Habilitar. O controle de "GitHub Advanced Security" será desabilitado se sua empresa não tiver licenças disponíveis para o Advanced Security.

Observação: se você desabilitar o GitHub Advanced Security, a revisão de dependência, os alertas de verificação de segredo para usuários e o code scanning serão desabilitados. Todos os fluxos de trabalho, uploads de SARIF, ou chamadas de API para code scanning falharão.

Permitir acesso a alertas de segurança

Os alertas de segurança de um repositório são visíveis para pessoas com acesso de administrador gravação, manter ou ao repositório e quando o repositório pertencer a uma organização ou aos proprietários da organização. Você pode dar acesso aos alertas a outras equipes e pessoas.

Proprietários de organização e administradores de repositório só podem conceder acesso para exibir alertas de segurança, como alertas de verificação de segredo, para pessoas ou equipes com acesso de gravação ao repositório.

  1. No GitHub.com, navegue até a página principal do repositório.
  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
  4. Em "Acesso aos alertas", no campo de pesquisa, comece a digitar o nome da pessoa ou equipe que você gostaria de encontrar e, em seguida, clique em um nome na lista de correspondências.
  5. Clique em Salvar alterações.

Remover o acesso aos alertas de segurança

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Em "Acesso aos alertas", à direita da pessoa ou da equipe cujo acesso você deseja remover, clique em .

    Captura de tela da lista de usuários com acesso a alertas. À direita de @octocat, um ícone x é destacado em laranja escuro.

  5. Clique em Salvar alterações.

Permitir verificações de validade para padrões de parceiros em um repositório

Observação: as verificações de validade para padrões de parceiros estão em versão beta e sujeitas a alterações.

As verificações de validade para padrões de parceiros estão disponíveis em todos os tipos de repositórios GitHub.com. Para usar esse recurso, você deve ter uma licença para GitHub Advanced Security.

Você pode permitir que secret scanning verifique automaticamente a validade de um segredo encontrado em seu repositório enviando-o para o parceiro relevante. Como alternativa, os proprietários e administradores da organização podem habilitar o recurso para todos os repositórios nas configurações da organização ou da empresa. Para obter mais informações, veja "Permitir verificações de validade para padrões de parceiros em uma organização" e "Como gerenciar os recursos do GitHub Advanced Security na empresa."

Nota: ao habilitar verificações automáticas de validade para um repositório, você também permite que verificações de validade sob demanda sejam executadas para padrões detectados nesse repositório.

  1. No GitHub.com, navegue até a página principal do repositório.
  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
  4. Em Secret scanning, marque a caixa de seleção ao lado da opção "Verificar automaticamente se um segredo é válido enviando-o ao parceiro relevante".

Leitura adicional

AnteriorSobre alertas do DependabotAvançarVisualizando e atualizando alertas do Dependabot