Sobre a gestão de configurações de segurança e análise
O GitHub pode ajudar você a proteger os repositórios na sua organização. É possível gerenciar os recursos de segurança e análise para todos os repositórios existentes ou novos que os integrantes criarem na sua organização. Organizações que usam GitHub Enterprise Cloud com uma licença para GitHub Advanced Security também podem gerenciar o acesso a essas funcionalidades. Para obter mais informações, confira a documentação do GitHub Enterprise Cloud.
Observação: você não pode desabilitar alguns recursos de segurança e análise que estão habilitados por padrão em repositórios públicos.
Você pode habilitar recursos de segurança em larga escala rapidamente com o GitHub-recommended security configuration, uma coleção de configurações de ativação de segurança que podem ser aplicadas a repositórios em uma organização. Você pode personalizar ainda mais os recursos do GitHub Advanced Security no nível da organização com global settings. Confira "Sobre a habilitação de recursos de segurança em escala".
Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.
Permitir que o Dependabot obtenha acesso a dependências privadas
Dependabot pode verificar referências de dependências desatualizadas em um projeto e gerar automaticamente um pull request para atualizá-las. Para fazer isso, Dependabot deve ter acesso a todos os arquivos de dependência de destino. Normalmente, atualizações da versão falharão se uma ou mais dependências forem inacessíveis. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".
Por padrão, o Dependabot não pode atualizar dependências localizadas em repositórios privados, ou em registros de pacotes privados. No entanto, se uma dependência estiver em um repositório privado GitHub na mesma organização do projeto que usa essa dependência, você poderá permitir que o Dependabot realize atualizações da versão com êxito ao conceder o acesso ao repositório de hospedagem.
Se o seu código depende de pacotes em um registro privado, você pode permitir que o Dependabot realize atualizações das versões dessas dependências ao configurar isso no nível do repositório. Você faz isso adicionando detalhes de autenticação ao arquivo dependabot.yml
do repositório. Para obter mais informações, confira "Opções de configuração para o arquivo dependabot.yml".
Para obter mais informações sobre como conceder acesso para o Dependabot a dependências privadas, consulte “Configurações de segurança globais para sua organização”.
Remover acesso a GitHub Advanced Security de repositórios individuais em uma organização
É possível usar security configurations para remover o acesso a GitHub Advanced Security de repositórios individuais em uma organização. Para obter mais informações, confira "Como gerenciar o uso de licenças para o GitHub Advanced Security".