Guia de início rápido para proteger seu repositório

Gerencie o acesso ao seu código. Localize e corrija automaticamente o código e as dependências vulneráveis.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Introdução

Este guia mostra como configurar as funcionalidades de segurança para um repositório.

As suas necessidades de segurança são únicas para o seu repositório. Portanto, talvez não seja necessário habilitar todos os recursos para o seu repositório. Para saber mais, confiraRecursos de segurança do GitHub.

Alguns recursos estão disponíveis para os repositórios em todos os planos. Há recursos adicionais disponíveis para as organizações e empresas que usam o GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Os recursos do GitHub Advanced Security também estão habilitados para todos os repositórios públicos no GitHub. Para saber mais, confira Sobre a Segurança Avançada do GitHub.

Fixar um problema no repositório

O primeiro passo para proteger um repositório é definir quem pode ver e modificar o seu código. Para saber mais, confiraGerenciando as configurações e funcionalidades do seu repositório.

Na página principal do repositório, clique em Settings e role a página para baixo até "Danger Zone".

Gerenciar o gráfico de dependências

Os administradores de repositórios podem habilitar ou desabilitar o grafo de dependência em repositórios. O grafo de dependência interpreta arquivos de manifesto e de bloqueio em um repositório para identificar dependências.

  1. Na página principal do repositório, clique em Settings.
  2. Clique em Advanced Security.
  3. Ao lado de Grafo de dependência, clique emHabilitar ouDesabilitar.

Para saber mais, confiraExplorar as dependências de um repositório.

Gerenciar Dependabot alerts

Dependabot alerts são gerados quando GitHub identifica uma dependência no gráfico de dependências com uma vulnerabilidade. Você pode habilitar Dependabot alerts para qualquer repositório.

Além disso, você pode usar Regras de triagem automática do Dependabot para gerenciar seus alertas em escala para que você possa ignorar os alertas automaticamente ou colocá-los em ociosidade e especificar para quais alertas deseja que o Dependabot abra pull requests. Para obter informações sobre os diferentes tipos de regras de triagem automática e se seus repositórios são qualificados, confira Sobre as regras de triagem automática do Dependabot.

Para obter uma visão geral dos diferentes recursos oferecidos pelo Dependabot e instruções sobre como começar, confira Guia de início rápido do Dependabot.

  1. Clique na foto do perfil e emSettings.
  2. Clique em Advanced Security.
  3. Clique emEnable ao lado dos Dependabot alerts.

Para saber mais, confiraSobre alertas do Dependabot eGerenciando recursos de segurança e análise.

Gerenciando revisão de dependências

A revisão de dependências permite visualizar alterações de dependência em solicitações de pull antes de serem mescladas nos seus repositórios. Para saber mais, confiraSobre a análise de dependência.

A revisão de dependência é um recurso do GitHub Code Security. A revisão de dependência está habilitada para todos os repositórios com o grafo de dependência habilitado. Organizações que usam o GitHub Team ou o GitHub Enterprise Cloud com GitHub Code Security também podem habilitar a revisão de dependências em repositórios privados e internos.

Para habilitar a revisão de dependência para um repositório, verifique se o grafo de dependência está habilitado.

  1. Na página principal do repositório, clique em Settings.
  2. Clique em Advanced Security.
  3. À direita de Code Security, clique emEnable.
  4. Em Code Security, verifique se o grafo de dependência está habilitado para o repositório.

Gerenciar Dependabot security updates

Para qualquer repositório que usar Dependabot alerts, você pode habilitar Dependabot security updates para abrir solicitações de pull com atualizações de segurança quando forem detectadas vulnerabilidades.

  1. Na página principal do repositório, clique em Settings.
  2. Clique em Advanced Security.
  3. Ao lado das Dependabot security updates, clique emHabilitar.

Para saber mais, confiraSobre as atualizações de segurança do Dependabot eConfigurando as atualizações de segurança do Dependabot.

Gerenciar Dependabot version updates

Você pode habilitar Dependabot para aumentar automaticamente as solicitações de pull para manter suas dependências atualizadas. Para saber mais, confiraSobre as atualizações da versão do Dependabot.

  1. Na página principal do repositório, clique em Settings.
  2. Clique em Advanced Security.
  3. Ao lado de Dependabot version updates, clique emHabilitar para criar um arquivo de configuraçãodependabot.yml básico.
  4. Especifique as dependências para atualizar o arquivo e as opções de configuração associadas que houver e, em seguida, fazer commit do arquivo no repositório. Para saber mais, confiraConfigurando a versão das atualizações do Dependabot.

Configurando Code Security

Observação

Recursos do Code Security estão disponíveis para todos os repositórios públicos e para repositórios privados pertencentes a organizações que fazem parte de uma equipe ou uma empresa que usa o GitHub Code Security ou o GitHub Advanced Security.

O GitHub Code Security inclui a code scanning, a CodeQL CLI e o Correção automática do Copilot, bem como outros recursos que encontram e corrigem vulnerabilidades em sua base de código.

Você pode configurar a code scanning para identificar automaticamente as vulnerabilidades e os erros no código armazenado no repositório usando um Fluxo de trabalho de análise do CodeQL ou uma ferramenta de terceiros. Dependendo das linguagens de programação em seu repositório, você pode configurar code scanning com o CodeQL usando a configuração padrão, na qual GitHub determina automaticamente as linguagens a serem examinadas, conjuntos de consultas a serem executados e eventos que acionarão uma nova verificação. Para saber mais, confiraComo definir a configuração padrão da verificação de código.

  1. Na página principal do repositório, clique em Settings.
  2. Na seção "Security" da barra lateral, clique em Advanced Security.
  3. Se o "Code Security" ou "GitHub Advanced Security" não estiver habilitado, clique emEnable.
  4. À direita de "CodeQL analysis", selecioneSet up e clique emDefault.
  5. Na janela pop-up exibida, examine as configurações padrão do repositório e clique emHabilitar o CodeQL.
  6. Escolha se deseja habilitar recursos adicionais, como Correção automática do Copilot.

Como uma alternativa para a configuração padrão, você pode usar a configuração avançada, que gera um arquivo de fluxo de trabalho que pode ser editado para personalizar a code scanning com o CodeQL. Para saber mais, confiraComo definir a configuração avançada para verificação de código.

Configurando a Secret Protection

Observação

Recursos do Secret Protection estão disponíveis para todos os repositórios públicos e para repositórios privados pertencentes a organizações que fazem parte de uma equipe ou uma empresa que usa o GitHub Secret Protection ou o GitHub Advanced Security.

A GitHub Secret Protection inclui a secret scanning e a proteção de push, bem como outros recursos que ajudam você a detectar e impedir vazamentos de segredos em seu repositório.

  1. Na página principal do repositório, clique em Settings.
  2. Clique em Advanced Security.
  3. Se o "Secret Protection" ou "GitHub Advanced Security" não estiver habilitado, clique emEnable.
  4. Se a opção "Secret scanning" for mostrada, clique emEnable.
  5. Escolha se deseja habilitar recursos adicionais, como verificação de padrões de não provedor e proteção de push.

Definir uma política de segurança

Se você é um mantenedor de repositório, é uma boa prática especificar uma política de segurança para o repositório criando um arquivo chamadoSECURITY.md nele. Este arquivo instrui os usuários sobre a melhor forma de contatar e colaborar com você quando quiserem relatar vulnerabilidades de segurança em seu repositório. Você pode exibir a política de segurança de um repositório na guiaSegurança dele.

  1. Na página principal do repositório, clique em Security.
  2. Na barra lateral esquerda, em "Reporting", clique em Policy.
  3. Clique emIniciar instalação.
  4. Adicione informações sobre versões compatíveis do seu projeto e como relatar vulnerabilidades.

Para saber mais, confiraAdicionar uma política de segurança a um repositório.

Próximas etapas

Você pode visualizar e gerenciar alertas de funcionalidades de segurança para resolver dependências e vulnerabilidades no seu código. Para saber mais, confiraVisualizando e atualizando alertas do Dependabot,Gerenciar pull requests para atualizações de dependências,Avaliar alertas de verificação de código para seu repositório eGerenciar alertas da verificação de segredo.

Você também pode usar as ferramentas do GitHub para auditar respostas a alertas de segurança. Para saber mais, confiraAlertas de segurança de auditoria.

Se você tiver uma vulnerabilidade de segurança em um repositório público, poderá criar uma consultoria de segurança para discutir em privado e corrigir a vulnerabilidade. Para saber mais, confiraSobre os avisos de segurança do repositório eCriando uma consultoria de segurança do repositório.

Se você usar GitHub Actions, poderá aproveitar os recursos de segurança do GitHub para aumentar a segurança de seus fluxos de trabalho. Para saber mais, confira Referência de uso seguro.