Práticas recomendadas para repositórios

Saiba como usar repositórios de maneira eficaz e segura.

Neste artigo

Criar um arquivo LEIAME

Para que as pessoas possam entender e navegar mais facilmente por seu trabalho, crie um arquivo LEIAME para cada repositório.

É possível adicionar um arquivo README a um repositório para comunicar informações importantes sobre o seu projeto. Um LEIAME, junto com uma licença de repositório, um arquivo de citação e diretrizes de contribuição, comunica as expectativas do projeto e ajuda você a gerenciar contribuições. Para saber mais, confira Sobre LEIAMEs.

Proteger seu repositório

Proteja seu repositório usando os recursos de segurança disponíveis do GitHub para proteger seu código contra vulnerabilidades, acesso não autorizado e outras possíveis ameaças à segurança. No mínimo, você precisa habilitar os seguintes recursos:

  • Dependabot alerts notificam você sobre vulnerabilidades de segurança na rede de dependência do projeto, para que você possa atualizar a dependência afetada para uma versão mais segura.
  • O Secret scanning verifica seu repositório em busca de segredos (como chaves de API e tokens) e alerta você quando um é encontrado, para que você possa remover o segredo do repositório.
  • A proteção por push impede que você (e seus colaboradores) introduzam segredos no repositório, bloqueando pushes que contêm segredos compatíveis.
  • O Code scanning identifica vulnerabilidades e erros no código do repositório, para que você possa corrigir esses problemas antecipadamente e evitar que uma vulnerabilidade ou um erro seja explorado por atores mal-intencionados.

Além disso, considere também:

  • Adicionar um arquivo SECURITY.md ao repositório. O arquivo SECURITY.md fornece instruções aos colaboradores sobre como relatar vulnerabilidades de segurança encontradas no projeto e incentiva a divulgação responsável.

Para saber mais, confira Guia de início rápido para proteger seu repositório.

Preferir branches a forks

Para simplificar a colaboração, recomenda-se que os colaboradores regulares trabalhem em um único repositório, criando solicitações de pull entre branches em vez de entre repositórios. O uso de fork é mais adequado para aceitar contribuições de pessoas não afiliadas a um projeto, como colaboradores de código aberto.

Para manter a qualidade de branches importantes, como main, ao usar um fluxo de trabalho de branch, é possível usar branches protegidos com verificações de status obrigatórias e revisões de solicitação de pull. Para saber mais, confira Sobre branches protegidos.

Usar o Git Large File Storage

Para otimizar o desempenho, o GitHub limita os tamanhos de arquivo permitidos nos repositórios. Para saber mais, confira Sobre arquivos grandes no GitHub.

Para rastrear arquivos grandes em um repositório Git, recomenda-se usar o Git Large File Storage (Git LFS). Para saber mais, confira Sobre armazenamento de arquivo grande do Git.