Gerenciando as configurações de segurança e análise do repositório

Você pode controlar recursos que protegem e analisam o código em seu projeto no GitHub.

Quem pode usar esse recurso?

People with admin permissions to a repository can manage security and analysis settings for the repository.

Neste artigo

Sobre as configurações de segurança e análise do repositório

O GitHub oferece uma série de recursos de segurança diferentes que você pode habilitar em seu repositório para proteger seu código contra vulnerabilidades, acesso não autorizado e outras possíveis ameaças à segurança. Muitos desses recursos estão disponíveis gratuitamente para repositórios públicos.

Habilitar ou desabilitar funcionalidades de segurança e análise para repositórios públicos

É possível gerenciar um subconjunto de recursos de segurança e análise para repositórios públicos.

No mínimo, você precisa habilitar o seguinte para seu repositório público:

  • Dependabot alerts notificam você sobre vulnerabilidades de segurança na rede de dependência do projeto, para que você possa atualizar a dependência afetada para uma versão mais segura.
  • O Secret scanning verifica seu repositório em busca de segredos (como chaves de API e tokens) e alerta você quando um é encontrado, para que você possa remover o segredo do repositório.
  • A proteção por push impede que você (e seus colaboradores) introduzam segredos no repositório, bloqueando pushes que contêm segredos compatíveis.
  • O Code scanning identifica vulnerabilidades e erros no código do repositório, para que você possa corrigir esses problemas antecipadamente e evitar que uma vulnerabilidade ou um erro seja explorado por atores mal-intencionados.

Outros recursos ficam habilitados permanentemente para repositórios públicos, como o grafo de dependência, que mostra todas as bibliotecas e pacotes dos quais seu repositório depende.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Code security.

  4. Em "Code security", à direita do recurso, clique em Desabilitar ou Habilitar.

Como habilitar ou desabilitar recursos de segurança e análise em repositórios privados

Você pode gerenciar os recursos de segurança e análise para o repositório privado ou interno. Se sua empresa ou organização tiver uma licença para GitHub Advanced Security, há outras opções disponíveis. Para saber mais, confira Sobre a Segurança Avançada do GitHub.

Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Code security.

  4. Em "Code security", à direita do recurso, clique em Desabilitar ou Habilitar.

    Note

    Se você desabilitar o GitHub Advanced Security, a revisão de dependências, os alertas de verificação de segredo para usuários e o code scanning serão desabilitados. Todos os fluxos de trabalho, uploads de SARIF, ou chamadas de API para code scanning falharão. Se o GitHub Advanced Security for reabilitado, o code scanning retornará ao seu estado anterior.

Permitir acesso a alertas de segurança

Os alertas de segurança do GitHub são notificações automatizadas que informam quando vulnerabilidades são encontradas nas dependências ou no código do repositório. Eles solicitam que você examine e corrija esses problemas, ajudando a manter o projeto seguro.

Você pode encontrar alertas de segurança do Dependabot, do Secret scanning e do Code scanning na guia Security do repositório.

Os alertas de segurança de um repositório são visíveis para pessoas com acesso de gravação, manutenção ou administração ao repositório e, quando o repositório pertencer a uma organização, para os proprietários da organização. Você pode dar acesso aos alertas a outras equipes e pessoas.

Note

Proprietários de organização e administradores de repositório só podem conceder acesso para exibir alertas de segurança, como alertas de verificação de segredo, para pessoas ou equipes com acesso de gravação ao repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Code security.

  4. Em "Acesso aos alertas", no campo de pesquisa, comece a digitar o nome da pessoa ou equipe que você gostaria de encontrar e, em seguida, clique em um nome na lista de correspondências.

  5. Clique em Salvar alterações.

Remover o acesso aos alertas de segurança

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Code security.

  4. Em "Acesso aos alertas", à direita da pessoa ou da equipe cujo acesso você deseja remover, clique em .

    Captura de tela da lista de usuários com acesso a alertas. À direita de @octocat, um ícone x é destacado em laranja escuro.

  5. Clique em Salvar alterações.

Leitura adicional