Como proteger sua organização

Introdução

Este guia mostra como configurar os recursos de segurança de uma organização. As necessidades de segurança da sua organização são únicas e pode ser que você não precise habilitar todas as funcionalidades de segurança. Para obter mais informações, confira "Recursos de segurança do GitHub".

Alguns recursos estão disponíveis para todos os repositórios. Há recursos adicionais disponíveis para as empresas que usam o GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Gerenciando o acesso à sua organização

Você pode usar as funções para controlar as ações que as pessoas podem tomar na sua organização. Por exemplo, você pode atribuir a função de gerente de segurança a uma equipe para dar a ela a capacidade de gerenciar as configurações de segurança de toda a organização, bem como o acesso de leitura em todos os repositórios. Para obter mais informações, confira "Funções em uma organização".

Criando uma política de segurança padrão

Você pode criar uma política de segurança padrão que será exibida em qualquer repositório público da organização que não tenha sua própria política de segurança. Para obter mais informações, confira "Como criar um arquivo padrão de integridade da comunidade".

Gerenciar Dependabot alerts e o gráfico de dependências

Os proprietários de empresas podem configurar o grafo de dependência e os Dependabot alerts para uma empresa. Para obter mais informações, confira "Habilitando o gráfico de dependências para a sua empresa" e "Habilitando o Dependabot para sua empresa".

Para saber mais, confira "Sobre alertas do Dependabot", "Explorar as dependências de um repositório" e "Gerenciando as configurações de segurança e de análise da sua organização".

Gerenciando revisão de dependências

A revisão de dependências é um recurso de Advanced Security que permite visualizar alterações de dependência em pull requests antes de serem mesclados nos seus repositórios. Para obter mais informações, confira "Sobre a análise de dependência".

A revisão de dependência está disponível quando o grafo de dependência está habilitado para sua instância do GitHub Enterprise Server e você habilita o Advanced Security para a organização (veja abaixo).

Gerenciar Dependabot security updates

Para qualquer repositório que usar Dependabot alerts, você pode habilitar Dependabot security updates para abrir pull requests com atualizações de segurança quando forem detectadas vulnerabilidades. Você também pode habilitar ou desabilitar Dependabot security updates para todos os repositórios da sua organização.

1. Clique na foto do seu perfil e clique em Organizações.
2. Clique em Configurações ao lado da sua organização.
3. Clique em Segurança e análise.
4. Clique em Habilitar tudo ou em Desabilitar tudo ao lado das Dependabot security updates.
5. Opcionalmente, selecione Habilitar automaticamente para novos repositórios.

Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot" e "Gerenciando as configurações de segurança e de análise da sua organização."

Gerenciar Dependabot version updates

Você pode habilitar Dependabot para aumentar automaticamente os pull requests para manter suas dependências atualizadas. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".

Para habilitar as Dependabot version updates, crie um arquivo de configuração dependabot.yml. Para obter mais informações, confira "Configurando a versão das atualizações do Dependabot".

Gerenciar GitHub Advanced Security

Se a sua empresa tem uma licença do Advanced Security, você pode habilitar ou desabilitar recursos do Advanced Security.

1. Clique na foto do seu perfil e clique em Organizações.
2. Clique em Configurações ao lado da sua organização.
3. Clique em Segurança e análise.
4. Clique em Habilitar tudo ou em Desabilitar tudo ao lado do GitHub Advanced Security.
5. Opcionalmente, selecione Habilitar automaticamente para novos repositórios privados.

Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub" e "Gerenciando as configurações de segurança e de análise da sua organização."

Configurar o secret scanning

Secret scanning está disponível se a sua empresa usa Advanced Security.

Você pode habilitar ou desabilitar a secret scanning para todos os repositórios em toda a sua organização que tenham o GitHub Advanced Security habilitado.

1. Clique na foto do seu perfil e clique em Organizações.
2. Clique em Configurações ao lado da sua organização.
3. Clique em Segurança e análise de código.
4. Clique em Habilitar tudo ou em Desabilitar tudo ao lado da Secret scanning.
5. Na caixa de diálogo exibida, você tem a opção de Selecione Habilitar automaticamente para os repositórios adicionados ao Advanced Security.
6. Clique no botão “Habilitar” ou “Desabilitar” na caixa de diálogo para confirmar a alteração.

Para obter mais informações, confira "Gerenciando as configurações de segurança e de análise da sua organização".

Como configurar a code scanning

Code scanning está disponível se sua empresa usa o Advanced Security.

O Code scanning é configurado no nível do repositório. Para obter mais informações, confira "Como configurar a verificação de código para um repositório".

Próximas etapas

Você pode visualizar e gerenciar alertas de funcionalidades de segurança para resolver dependências e vulnerabilidades no seu código. Para obter mais informações, confira "Visualizando e atualizando alertas do Dependabot", "Gerenciar pull requests para atualizações de dependências", "Gerenciamento de alertas de varredura de código para seu repositório" e "Gerenciar alertas da verificação de segredo".

Você também pode monitorar respostas a alertas de segurança em sua organização. Para obter mais informações, confira "Alertas de segurança de auditoria".

Você podem ver, filtrar e classificar os alertas de segurança de repositórios pertencentes à organização sua na visão geral de segurança. Para obter mais informações, confira "Sobre a visão geral de segurança".