Sobre este guia
Este guia descreve mudanças de maior impacto que você pode fazer para melhorar a segurança do seu código. Cada seção descreve uma alteração que você pode fazer em seus processos para melhorar a segurança. As mudanças de maior impacto estão listadas primeiro.
Qual o risco?
Os principais riscos no processo de desenvolvimento incluem:
- Usar dependências com vulnerabilidades de segurança que um invasor pode explorar.
- Vazar as credenciais de autenticação ou um token que um invsor poderia usar para acessar seus recursos.
- Introduzir uma vulnerabilidade ao seu próprio código que um invasor poderia explorar.
Esses riscos abrem seus recursos e projetos para serem atacados, aléme de serem enviados diretamente para qualquer um que utilize um pacote que você criar. As seções a seguir explicam como você pode proteger você mesmo e seus usuários desses riscos.
Crie um programa de gerenciamento de vulnerabilidades para dependências
Você pode proteger o código do qual você depende criando um programa de gerenciamento de vulnerabilidades para dependências. Em alto nível, isto deve incluir processos para garantir que você:
-
Crie um inventário de suas dependências.
-
Saiba quando há uma vulnerabilidade de segurança em uma dependência.
-
Avalie o impacto dessa vulnerabilidade no seu código e decida qual ação tomar.
Geração de inventário automática
Como primeiro passo, você deverá fazer um inventário completo das suas dependências. O gráfico de dependências para um repositório mostra dependências para ecossistemas compatíveis. Se você verificar suas dependências, ou usar outros ecossistemas, você deverá completar isto com dados de ferramentas de terceiros ou listando dependências manualmente. Para obter mais informações, consulte "Sobre o gráfico de dependência".
Detecção automática de vulnerabilidades em dependências
Dependabot pode ajudar você a monitorar as suas dependências e notificar você quando contiverem uma vulnerabilidade conhecida. For more information, see "About Alertas do Dependabot".
Avaliação da exposição ao risco de uma dependência vulnerável
Ao descobrir que você está usando uma dependência vulnerável, por exemplo, uma biblioteca ou uma estrutura, você deve avaliar o nível de exposição do seu projeto e determinar que ação deve tomar. Normalmente, as vulnerabilidades são relatadas com uma pontuação de gravidade para mostrar a gravidade do seu impacto. A pontuação de gravidade é um guia útil, mas não pode dizer o impacto total da vulnerabilidade no seu código.
Para avaliar o impacto de uma vulnerabilidade no seu código, você também precisa considerar como usar a biblioteca e determinar o nível de risco que isso realmente representa para o seu sistema. Talvez a vulnerabilidade seja parte de um recurso que você não usa, e você pode atualizar a biblioteca afetada e continuar com o seu ciclo normal da versão. Ou talvez seu código esteja mal exposto a riscos e você precisa atualizar a biblioteca afetada e enviar uma construção atualizada imediatamente. Essa decisão depende de como você está usando a biblioteca em seu sistema, e é uma decisão que só você tem o conhecimento para tomar.
Proteja seus tokens de comunicação
O código geralmente precisa se comunicar com outros sistemas por meio de uma rede e exige segredos (como uma senha, ou uma chave de API) para efetuar a autenticação. Seu sistema precisa de acesso a esses segredos para ser executado, mas a prática recomendada é não incluí-los no seu código-fonte. Isto é especialmente importante para repositórios públicos, mas também para repositórios privados aos quais muitas pessoas podem ter acesso.
Detecção automática de segredos confirmados em um repositório
Observação: Varredura secreta is available for organization-owned repositories in GitHub Enterprise Server if your enterprise has a license for Segurança Avançada GitHub. For more information, see "GitHub's products."
Observação: O administrador do site deve habilitar varredura secreta para your GitHub Enterprise Server instance antes de usar este recurso. Para obter mais informações, consulte "Configurar o varredura secreta para seu aplicativo ".
Você pode configurar varredura secreta para verificar se há segredos emitidos por muitos provedores de serviço e para notificar você quando algum for detectado. Você também pode definir padrões personalizados para detectar segredos adicionais no repositório, organização ou empresa. Para obter mais informações, consulte "Sobre a digitalização de segredos" e "Padrões de digitalização de segredos".
Mantenha padrões de codificação vulneráveis fora do seu repositório
Observação: Varredura de código está disponível para repositórios de organizações onde Segurança Avançada GitHub está habilitado. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub".
Observação: O administrador do site deve habilitar Varredura de código para your GitHub Enterprise Server instance antes de usar este recurso. Para obter mais informações, consulte "Configurar o Varredura de código para seu aplicativo ".
Criar um processo de revisão de pull request
Você pode melhorar a qualidade e a segurança do seu código garantindo que todos os pull requests sejam revisados e testados antes do merge. GitHub tem muitas funcionalidades que você pode usar para controlar a revisão e o processo de merge. Para começar, consulte "Sobre branches protegidos".
Digitalize o seu código para padrões vulneráveis
Os padrões de código inseguro são muitas vezes difíceis para os revisores identificarem sem ajuda. Além de digitalizar seu código para encontrar segredos, você pode verificar se há padrões associados a vulnerabilidades de segurança. Por exemplo, uma função que não é segura na memória, ou falhar ao escapar de entrada do usuário que poderia levar a uma vulnerabilidade de injeção. GitHub oferece várias maneiras diferentes de abordar como e quando você digitaliza o seu código. Para começar, consulte "Sobre a digitalização de código".