Guia de início rápido para proteger seu repositório

Introdução

Este guia mostra como configurar as funcionalidades de segurança para um repositório. Você deve ser um administrador ou proprietário da organização do repositório para definir as configurações de segurança para um repositório.

As suas necessidades de segurança são únicas para o seu repositório. Portanto, talvez não seja necessário habilitar todos os recursos para o seu repositório. Para obter mais informações, confira "Recursos de segurança do GitHub".

Alguns recursos estão disponíveis para todos os repositórios. Há recursos adicionais disponíveis para as empresas que usam o GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Fixar um problema no repositório

O primeiro passo para proteger um repositório é definir quem pode ver e modificar o seu código. Para obter mais informações, confira "Gerenciando as configurações e funcionalidades do seu repositório".

Na página principal do repositório, clique em Configurações e role a página para baixo até a "Zona de Perigo".

• Para alterar as pessoas que podem ver seu repositório, clique em Alterar visibilidade. Para obter mais informações, confira "Definir a visibilidade do repositório".
• Para alterar as pessoas que podem acessar seu repositório e ajustar as permissões, clique em Gerenciar acesso. Para obter mais informações, confira "Gerenciando equipes e pessoas com acesso ao seu repositório".

Gerenciar o gráfico de dependências

Os proprietários de empresas podem configurar o grafo de dependência e os Dependabot alerts para uma empresa. Para saber mais, confira "Habilitando o gráfico de dependências para a sua empresa" e "Habilitando o Dependabot para sua empresa".

Para obter mais informações, confira "Explorar as dependências de um repositório".

Gerenciar Dependabot alerts

Dependabot alerts são gerados quando GitHub identifica uma dependência no gráfico de dependências com uma vulnerabilidade.

Além disso, você pode usar Regras de triagem automática do Dependabot para gerenciar seus alertas em escala para que você possa ignorar os alertas automaticamente ou colocá-los em ociosidade e especificar para quais alertas deseja que o Dependabot abra pull requests. Para obter informações sobre os diferentes tipos de regras de triagem automática e se seus repositórios são qualificados, consulte "AUTOTITLE".

Para obter uma visão geral dos diferentes recursos oferecidos pelo Dependabot e instruções sobre como começar, confira "Guia de início rápido do Dependabot".

Os proprietários da empresa devem configurar o grafo de dependência e o Dependabot alerts para uma empresa.

Depois da configuração dos Dependabot alerts, os administradores do repositório e os proprietários da organização poderão habilitar o Dependabot alerts para repositórios privados e internos na página de configurações "Segurança e análise de código". Os repositórios públicos estão habilitados por padrão. Para saber mais, confira "Habilitando o gráfico de dependências para a sua empresa", "Habilitando o Dependabot para sua empresa” e “Configurando alertas do Dependabot".

Para obter mais informações, confira "Sobre alertas do Dependabot".

Gerenciando revisão de dependências

A revisão de dependências permite visualizar alterações de dependência em solicitações de pull antes de serem mescladas nos seus repositórios. Para obter mais informações, confira "Sobre a análise de dependência".

A revisão de dependência é um recurso de GitHub Advanced Security. Para habilitar a revisão de dependências para um repositório , assegure que o gráfico de dependências esteja habilitado e habilite GitHub Advanced Security.

1. Na página principal do repositório, clique em Configurações.
2. Clique em Segurança e análise.
3. Verifique se o grafo de dependência está configurado para sua empresa.
4. Se o GitHub Advanced Security ainda não estiver habilitado, clique em Habilitar.

Gerenciar Dependabot security updates

Para qualquer repositório que usar Dependabot alerts, você pode habilitar Dependabot security updates para abrir solicitações de pull com atualizações de segurança quando forem detectadas vulnerabilidades.

1. Na página principal do repositório, clique em Configurações.
2. Clique em Segurança e análise.
3. Ao lado das Dependabot security updates, clique em Habilitar.

Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot" e "Configurando as atualizações de segurança do Dependabot."

Gerenciar Dependabot version updates

Você pode habilitar Dependabot para aumentar automaticamente as solicitações de pull para manter suas dependências atualizadas. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".

Para habilitar as Dependabot version updates, crie um arquivo de configuração dependabot.yml. Para obter mais informações, confira "Configurando a versão das atualizações do Dependabot".

Como configurar a code scanning

Você pode configurar a code scanning para identificar automaticamente vulnerabilidades e erros no código armazenado no seu repositório usando um Fluxo de trabalho de análise do CodeQL ou uma ferramenta de terceiros. Dependendo das linguagens de programação do repositório, você pode configurar a code scanning com o CodeQL usando a configuração padrão, em que o GitHub determina automaticamente as linguagens a serem verificadas, os pacotes de consultas a serem executados e os eventos que vão disparar uma nova verificação. Para obter mais informações, confira "Como definir a configuração padrão da verificação de código".

1. Na página principal do repositório, clique em Configurações.
2. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
3. Na seção "Code scanning", selecione Configurar e clique em Padrão.
4. Na janela pop-up exibida, examine as configurações padrão do repositório e clique em Habilitar o CodeQL .

Como alternativa, você pode usar a configuração avançada, que gera um arquivo de fluxo de trabalho que pode ser editado para personalizar a code scanning com o CodeQL. Para obter mais informações, confira "Como definir a configuração avançada da verificação de código".

O Code scanning está disponível para repositórios pertencentes a organizações, se a empresa usar o GitHub Advanced Security.

Configurar o secret scanning

A Secret scanning estará disponível para os repositórios pertencentes a uma organização no GitHub Enterprise Server se a sua empresa tiver uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a verificação de segredo" e "Sobre a Segurança Avançada do GitHub".

1. Na página principal do repositório, clique em Configurações.

2. Clique em Segurança e análise de código.

3. Se o GitHub Advanced Security ainda não estiver habilitado, clique em Habilitar.

4. Ao lado da Secret scanning, clique em Habilitar.

Definir uma política de segurança

Se você é um mantenedor de repositório, é uma boa prática especificar uma política de segurança para o repositório criando um arquivo chamado SECURITY.md nele. Este arquivo instrui os usuários sobre a melhor forma de contatar e colaborar com você quando quiserem relatar vulnerabilidades de segurança em seu repositório. Você pode exibir a política de segurança de um repositório na guia Segurança dele.

1. Na página principal do repositório, clique em Segurança.
2. Clique em Política de segurança.
3. Clique em Iniciar instalação.
4. Adicione informações sobre versões compatíveis do seu projeto e como relatar vulnerabilidades.

Para obter mais informações, confira "Adicionar uma política de segurança a um repositório".

Próximas etapas

Você pode visualizar e gerenciar alertas de funcionalidades de segurança para resolver dependências e vulnerabilidades no seu código. Para obter mais informações, confira "Visualizando e atualizando alertas do Dependabot", "Gerenciar pull requests para atualizações de dependências", "Gerenciamento de alertas de varredura de código para seu repositório" e "Gerenciar alertas da verificação de segredo".

Você também pode usar as ferramentas do GitHub para auditar respostas a alertas de segurança. Para obter mais informações, confira "Alertas de segurança de auditoria".

Se você usar GitHub Actions, poderá aproveitar os recursos de segurança do GitHub para aumentar a segurança de seus fluxos de trabalho. Para obter mais informações, confira "Usar os recursos de segurança do GitHub para proteger seu uso do GitHub Actions".