Note
Quando Dependabot alerts estiver habilitado ou desabilitado no nível empresarial, ele substituirá as configurações de nível de repositório para Dependabot alerts. Para saber mais, confira Configurando alertas do Dependabot.
Sobre as configurações de segurança e análise do repositório
O GitHub oferece uma série de recursos de segurança diferentes que você pode habilitar em seu repositório para proteger seu código contra vulnerabilidades, acesso não autorizado e outras possíveis ameaças à segurança. Muitos desses recursos estão disponíveis gratuitamente para repositórios públicos.
Habilitar ou desabilitar funcionalidades de segurança e análise para repositórios públicos
É possível gerenciar um subconjunto de recursos de segurança e análise para repositórios públicos.
No mínimo, você precisa habilitar o seguinte para seu repositório público:
- Dependabot alerts notificam você sobre vulnerabilidades de segurança na rede de dependência do projeto, para que você possa atualizar a dependência afetada para uma versão mais segura.
- O Secret scanning verifica seu repositório em busca de segredos (como chaves de API e tokens) e alerta você quando um é encontrado, para que você possa remover o segredo do repositório.
- A proteção por push impede que você (e seus colaboradores) introduzam segredos no repositório, bloqueando pushes que contêm segredos compatíveis.
- O Code scanning identifica vulnerabilidades e erros no código do repositório, para que você possa corrigir esses problemas antecipadamente e evitar que uma vulnerabilidade ou um erro seja explorado por atores mal-intencionados.
Outros recursos ficam habilitados permanentemente para repositórios públicos, como o grafo de dependência, que mostra todas as bibliotecas e pacotes dos quais seu repositório depende.
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security.
-
Em "Code security", à direita do recurso, clique em Disable ou Enable.
Como habilitar ou desabilitar recursos de segurança e análise em repositórios privados
Você pode administrar as funcionalidades de segurança e análise para o seu repositórioprivado ou interno . Se sua empresa ou organização tiver uma licença para GitHub Advanced Security, haverá opções adicionais disponíveis. Para saber mais, confira Sobre a Segurança Avançada do GitHub.
Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security.
-
Em "Code security", à direita do recurso, clique em Disable ou Enable. O controle de "GitHub Advanced Security" será desabilitado se sua empresa não tiver licenças disponíveis para o Advanced Security.
Note
Se você desabilitar o GitHub Advanced Security, a revisão de dependência, os alertas de verificação de segredo para usuários e o code scanning serão desabilitados. Todos os fluxos de trabalho, uploads de SARIF, ou chamadas de API para code scanning falharão. Se o GitHub Advanced Security for reabilitado, o code scanning retornará ao seu estado anterior.
Permitir acesso a alertas de segurança
Os alertas de segurança do GitHub são notificações automatizadas que informam quando vulnerabilidades são encontradas nas dependências ou no código do repositório. Eles solicitam que você examine e corrija esses problemas, ajudando a manter o projeto seguro.
Você pode encontrar alertas de segurança do Dependabot, do Secret scanning e do Code scanning na guia Security do repositório.
Os alertas de segurança de um repositório são visíveis para pessoas com acesso de gravação, manutenção ou administração ao repositório e, quando o repositório pertencer a uma organização, para os proprietários da organização. Você pode dar acesso aos alertas a outras equipes e pessoas.
Note
Proprietários de organização e administradores de repositório só podem conceder acesso para exibir alertas de segurança, como alertas de verificação de segredo, para pessoas ou equipes com acesso de gravação ao repositório.
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security.
-
Em "Acesso aos alertas", no campo de pesquisa, comece a digitar o nome da pessoa ou equipe que você gostaria de encontrar e, em seguida, clique em um nome na lista de correspondências.
-
Clique em Salvar alterações.
Remover o acesso aos alertas de segurança
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security.
-
Em "Acesso aos alertas", à direita da pessoa ou da equipe cujo acesso você deseja remover, clique em .
-
Clique em Salvar alterações.
