Como impor políticas para segurança e análise de código na empresa

Você pode impor políticas para gerenciar o uso de recursos de segurança e análise de código nas organizações da sua empresa.

Quem pode usar esse recurso?

Enterprise owners

O GitHub Code Security e o GitHub Secret Protection estão disponíveis para contas no GitHub Team e GitHub Enterprise Cloud.

Alguns recursos também estão disponíveis gratuitamente para repositórios públicos no GitHub.com. Para obter mais informações, consulte Planos do GitHub.

Para obter informações sobre o GitHub Advanced Security for Azure DevOps, veja Configurar o GitHub Advanced Security for Azure DevOps no Microsoft Learn.

Neste artigo

Sobre políticas para o uso de recursos de segurança em sua empresa

Você pode impor políticas para gerenciar o uso de recursos de segurança em organizações pertencentes à sua empresa. Você pode permitir ou não permitir que pessoas com acesso de administrador a um repositório habilitem ou desabilitem os recursos de segurança e análise.

Além disso, é possível aplicar políticas para o uso do GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security nas organizações e nos repositórios de sua empresa.

Como impor uma política de disponibilidade de Advanced Security nas organizações de sua empresa

Você é cobrado pelos produtos do GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security por committer. Confira Cobrança de licença do GitHub Advanced Security.

Você pode aplicar uma política que controla se os administradores de repositórios têm permissão para habilitar recursos do Advanced Security nos repositórios de uma organização. É possível configurar uma política para todas as organizações pertencentes à conta corporativa ou para organizações individuais escolhidas.

Cancelar a permissão do GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security para uma organização impede que os administradores de repositórios habilitem funcionalidades do GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security para repositórios adicionais, mas não desabilita as funcionalidades nos repositórios onde já estão habilitadas.

Observação

Essa política afeta apenas os administradores do repositório. Os proprietários da organização e os gerentes de segurança sempre podem habilitar os recursos de segurança, independentemente de como você define essa política. Para saber mais, confira Funções em uma organização.

  1. No canto superior direito do GitHub, selecione sua imagem de perfil.

  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

  3. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies.

  4. Em "Policies", clique em Advanced Security.

  5. Na guia "Policies" da página "Advanced Security", selecione o menu suspenso e clique em uma política para as organizações pertencentes à sua empresa.

  6. Opcionalmente, se você escolheu Allow for selected organizations, à direita de uma organização, selecione o menu suspenso para definir quais produtos do Advanced Security ficam disponíveis para a organização.

    Captura de tela do menu suspenso para escolher uma política de Advanced Security para organizações selecionadas na empresa. A lista suspensa está contornada.

Aplicando uma política de visibilidade de insights de dependência

Os insights de dependência mostram todos os projetos de software livre dos quais os repositórios nas organizações da sua empresa dependem. Os insights de dependência incluem informações agregadas sobre consultorias de segurança e licenças. Para saber mais, confira Visualização de insights sobre dependências em sua organização.

Em todas as organizações pertencentes à sua empresa, é possível controlar se os integrantes da organização podem ver os insights de dependência. Você também pode permitir que proprietários administrem a configuração no nível da organização. Para saber mais, confira Alterar a visibilidade de informações de dependência da organização.

  1. No canto superior direito do GitHub, selecione sua imagem de perfil.

  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

  3. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies.

  4. Em "Policies", clique em Advanced Security.

  5. Na seção "Policies", em "Dependency insights", revise as informações sobre como alterar a configuração.

  6. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em View your organizations' current configurations.

    Captura de tela de uma política nas configurações da empresa. Um link, rotulado como "View your organizations' current configurations", está contornado.

  7. Em "Insights de dependência", selecione o menu suspenso e clique em uma política.

Como impor uma política para gerenciar o uso do Dependabot alerts em sua empresa

Em todas as organizações pertencentes à sua empresa, você pode permitir que membros com permissões de administrador para repositórios habilitem ou desabilitem Dependabot alerts e alterem as configurações do Dependabot alerts.

Observação

Essa política afeta apenas os administradores do repositório. Os proprietários da organização e os gerentes de segurança sempre podem habilitar os recursos de segurança, independentemente de como você define essa política. Para saber mais, confira Funções em uma organização.

  1. No canto superior direito do GitHub, selecione sua imagem de perfil.
  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.
  3. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies.
  4. Em "Policies", clique em Advanced Security.
  5. Na seção "Policies", em "Enable or disable Dependabot alerts by repository admins", use o menu suspenso para escolher uma política.

Como impor uma política para gerenciar o uso de recursos do Advanced Security nos repositórios da sua empresa

Em todas as organizações da empresa, você pode permitir ou não que pessoas com acesso de administrador a repositórios gerenciem o uso de recursos do Advanced Security nos repositórios.

  1. No canto superior direito do GitHub, selecione sua imagem de perfil.

  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

  3. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies.

  4. Em "Policies", clique em Advanced Security.

  5. Na seção "Policies", em "Repository administrators can enable or disable PRODUCT", use o menu suspenso para definir se os administradores do repositório podem alterar a habilitação do GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security.

Como impor uma política para gerenciar o uso da detecção de IA pelo secret scanning nos repositórios da sua empresa

Em todas as organizações da sua empresa, você pode permitir ou não que pessoas com acesso de administrador a repositórios gerenciem e configurem a detecção de IA na secret scanning para os repositórios. Essa política só entrará em vigor se os administradores do repositório também tiverem permissão para alterar a habilitação do Secret Protection (controlada pela política "Repository administrators can enable or disable Secret Protection").

  1. No canto superior direito do GitHub, selecione sua imagem de perfil.
  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.
  3. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies.
  4. Em "Policies", clique em Advanced Security.
  5. Na seção "Policies", em "AI detection in secret scanning", use o menu suspenso e clique em uma política.

Impor uma política para gerenciar o uso de recursos do Correção automática do Copilot nos repositórios da sua empresa

Em todas as organizações da sua empresa, você pode permitir ou não que pessoas com acesso de administrador a repositórios gerenciem onde o Correção automática do Copilot está habilitado. O GitHub Code Security precisa estar habilitado para a organização para que esta política entre em vigor.

  1. No canto superior direito do GitHub, selecione sua imagem de perfil.
  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.
  3. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies.
  4. Em "Policies", clique em Advanced Security.
  5. Na seção "Policies", em "Correção automática do Copilot", use o menu suspenso e clique em uma política.