Enterprise Server 3.21 está disponível no momento como versão candidata a lançamento.

Guia de Início rápido para proteger seu repositório

Gerencie o acesso ao seu código. Localize e corrija automaticamente o código e as dependências vulneráveis.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Introdução

Este guia mostra como configurar as funcionalidades de segurança para um repositório.

As suas necessidades de segurança são únicas para o seu repositório. Portanto, talvez não seja necessário habilitar todos os recursos para o seu repositório. Para saber mais, confira GitHub recursos de segurança.

Alguns recursos estão disponíveis para todos os repositórios. Há recursos adicionais disponíveis para as organizações e empresas que usam o GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Para saber mais, confira Sobre GitHub Segurança Avançada.

Fixar um problema no repositório

O primeiro passo para proteger um repositório é definir quem pode ver e modificar o seu código. Para saber mais, confira Gerenciando as configurações e os recursos do repositório.

Na página principal do repositório, clique em Configurações e role para baixo até a "Zona de Perigo".

Gerenciar o gráfico de dependências

Proprietários de empresa podem configurar um grafo de dependência e Dependabot alerts para uma empresa. Para obter mais informações, confira Enabling the dependency graph for your enterprise e Habilitando o Dependabot para sua empresa.

Para saber mais, confira Exploring the dependencies of a repository.

Gerenciando Dependabot alerts

Dependabot alerts são gerados quando GitHub identifica uma dependência no grafo de dependência com uma vulnerabilidade.

Além disso, você pode usar Regras de triagem automática do Dependabot para gerenciar seus alertas em escala para que você possa ignorar os alertas automaticamente ou colocá-los em ociosidade e especificar para quais alertas deseja que o Dependabot abra pull requests. Para obter informações sobre os diferentes tipos de regras de triagem automática e se seus repositórios são qualificados, confira Dependabot auto-triage rules.

Para obter uma visão geral dos diferentes recursos oferecidos pelo Dependabot e instruções sobre como começar, confira Dependabot quickstart guide.

Os proprietários da empresa devem configurar o grafo de dependência e o Dependabot alerts para uma empresa.

Depois da configuração de Dependabot alerts, os administradores do repositório e os proprietários da organização poderão habilitar Dependabot alerts para repositórios privados e internos na página de configurações "Advanced Security". Os repositórios públicos estão habilitados por padrão. Para saber mais, confira Enabling the dependency graph for your enterprise, Habilitando o Dependabot para sua empresa e Configuring Dependabot alerts.

Para obter mais informações, consulte Dependabot alerts.

Gerenciando revisão de dependências

A revisão de dependências permite visualizar alterações de dependência em solicitações de pull antes de serem mescladas nos seus repositórios. Para saber mais, confira Dependency review.

A revisão de dependência é um GitHub Code Security recurso.

Para habilitar a revisão de dependência para um repositório, verifique se o grafo de dependência está habilitado.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Advanced Security.
  3. Verifique se o grafo de dependência está configurado para sua empresa.

Gerenciando Dependabot security updates

Para qualquer repositório que usa Dependabot alerts, você pode habilitar a geração Dependabot security updates de solicitações de pull com atualizações de segurança quando vulnerabilidades são detectadas.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Advanced Security.
  3. Ao lado de Dependabot security updates, clique em Habilitar.

Para saber mais, confira Dependabot security updates e Configuring Dependabot security updates.

Gerenciando Dependabot version updates

Você pode habilitar Dependabot para gerar automaticamente pull requests e manter suas dependências atualizadas. Para saber mais, confira Dependabot version updates.

Para habilitar Dependabot version updates, você deve criar um dependabot.yml arquivo de configuração. Para saber mais, confira Configuring Dependabot version updates.

Configurando Code Security

GitHub Code Security inclui code scanning, CodeQL CLI e Autofixo do Copilot, bem como outros recursos que encontram e corrige vulnerabilidades em sua base de código.

Você pode configurar code scanning para identificar automaticamente vulnerabilidades e erros no código armazenado em seu repositório usando uma Fluxo de trabalho de análise do CodeQL ou uma ferramenta de terceiros. Dependendo das linguagens de programação em seu repositório, você pode configurar code scanning com CodeQL usando a configuração padrão, na qual GitHub determina automaticamente as linguagens a serem analisadas, os conjuntos de consultas a serem executados e os eventos que acionarão uma nova verificação. Para saber mais, confira Configuring default setup for code scanning.

  1. Na página principal do repositório, clique em Configurações.
  2. Na seção "Segurança" da barra lateral, clique Advanced Security em .
  3. Se "Code Security" ou "GitHub Advanced Security" ainda não estiver habilitado, clique em Habilitar.
  4. À direita de "Análise do CodeQL", selecione Configurar e clique em Padrão.
  5. Na janela pop-up exibida, examine as configurações padrão do repositório e clique em Habilitar CodeQL.

Como alternativa à configuração padrão, você pode usar a configuração avançada, que gera um arquivo de fluxo de trabalho que você pode editar para personalizar seu code scanning com CodeQL. Para saber mais, confira Como definir a configuração avançada para verificação de código.

Configurando Secret Protection

GitHub Secret Protection inclui secret scanning e proteção contra push, bem como outros recursos que ajudam você a detectar e evitar vazamentos secretos em seu repositório.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Advanced Security.
  3. Se "Secret Protection" ou "GitHub Advanced Security" ainda não estiver habilitado, clique em Habilitar.
  4. Se a opção "Secret scanning" for mostrada, clique em Habilitar.
  5. Escolha se deseja habilitar recursos adicionais, como verificação de padrões que não são de provedor e proteção por push.

Definir uma política de segurança

Se você é um mantenedor de repositório, é uma boa prática especificar uma política de segurança para o repositório criando um arquivo chamado SECURITY.md nele. Este arquivo instrui os usuários sobre a melhor forma de contatar e colaborar com você quando quiserem relatar vulnerabilidades de segurança em seu repositório. Você pode exibir a política de segurança de um repositório na guia Security do repositório.

  1. Na página principal do repositório, clique em Security.
  2. Na barra lateral esquerda, em "Relatório", clique em Política de segurança.
  3. Clique em Iniciar instalação.
  4. Adicione informações sobre versões compatíveis do seu projeto e como relatar vulnerabilidades.

Para saber mais, confira Adding a security policy to your repository.

Próximas etapas

Você pode visualizar e gerenciar alertas de funcionalidades de segurança para resolver dependências e vulnerabilidades no seu código. Para saber mais, confira Viewing and updating Dependabot alerts, Managing pull requests for dependency updates, Assessing code scanning alerts for your repository e Gerenciar alertas de verificação de segredo.

Você também pode usar as ferramentas de GitHub para auditar respostas a alertas de segurança. Para saber mais, confira Auditing security alerts.

Se você usar GitHub Actions, poderá aproveitar os recursos de segurança do GitHub para aumentar a segurança de seus fluxos de trabalho. Para saber mais, confira Referência de uso seguro.