Guia de Início rápido para proteger seu repositório

Gerencie o acesso ao seu código. Localize e corrija automaticamente o código e as dependências vulneráveis.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Introdução

Este guia mostra como configurar as funcionalidades de segurança para um repositório.

As suas necessidades de segurança são únicas para o seu repositório. Portanto, talvez não seja necessário habilitar todos os recursos para o seu repositório. Para saber mais, confira Recursos de segurança do GitHub.

Alguns recursos estão disponíveis para os repositórios em todos os planos. Há recursos adicionais disponíveis para as organizações e empresas que usam o GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Os recursos do GitHub Advanced Security também estão habilitados para todos os repositórios públicos no GitHub. Para saber mais, confira Sobre GitHub Segurança Avançada.

Fixar um problema no repositório

O primeiro passo para proteger um repositório é definir quem pode ver e modificar o seu código. Para saber mais, confira Gerenciando as configurações e os recursos do repositório.

Na página principal do repositório, clique em Configurações e role para baixo até a "Zona de Perigo".

Gerenciar o gráfico de dependências

          Os administradores de repositórios podem habilitar ou desabilitar o grafo de dependência em repositórios. O grafo de dependências interpreta os arquivos de manifesto e cadeado em um repositório para identificar as dependências.
  1. Na página principal do repositório, clique em Configurações.
  2. Clique Advanced Security.
  3. Ao lado de Grafo de dependência, clique em Habilitar ou Desabilitar.

Para saber mais, confira Explorar as dependências de um repositório.

Gerenciando Dependabot alerts

          Dependabot alerts são gerados quando GitHub identifica uma dependência no grafo de dependência com uma vulnerabilidade. 
          Você pode habilitar Dependabot alerts para qualquer repositório.

Além disso, você pode usar Regras de triagem automática do Dependabot para gerenciar seus alertas em escala para que você possa ignorar os alertas automaticamente ou colocá-los em ociosidade e especificar para quais alertas deseja que o Dependabot abra pull requests. Para obter informações sobre os diferentes tipos de regras de triagem automática e se seus repositórios são qualificados, confira Sobre as regras de triagem automática do Dependabot.

Para obter uma visão geral dos diferentes recursos oferecidos pelo Dependabot e instruções sobre como começar, confira Guia de início rápido do Dependabot.

  1. Clique na foto do perfil e em Settings.
  2. Clique Advanced Security.
  3. Clique em Habilitar ao lado de Dependabot alerts.

Para obter mais informações, consulte Sobre alertas do Dependabot e Gerenciando recursos de segurança e análise.

Gerenciando revisão de dependências

A revisão de dependências permite visualizar alterações de dependência em solicitações de pull antes de serem mescladas nos seus repositórios. Para saber mais, confira Sobre a análise de dependência.

A revisão de dependência é um GitHub Code Security recurso. A revisão de dependência está habilitada para todos os repositórios com o grafo de dependência habilitado. As organizações que usam GitHub Team ou GitHub Enterprise Cloud com GitHub Code Security também podem habilitar a revisão de dependência para repositórios privados e internos.

Para habilitar a revisão de dependência para um repositório, verifique se o grafo de dependência está habilitado.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Advanced Security.
  3. À direita de Code Security, clique em Ativar.
  4. Em Code Security, verifique se o grafo de dependência está habilitado para o repositório.

Gerenciando Dependabot security updates

Para qualquer repositório que usa Dependabot alerts, você pode habilitar a geração Dependabot security updates de solicitações de pull com atualizações de segurança quando vulnerabilidades são detectadas.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique Advanced Security.
  3. Ao lado de Dependabot security updates, clique em Habilitar.

Para saber mais, confira Sobre as atualizações de segurança do Dependabot e Configuração de atualizações de segurança do Dependabot.

Gerenciando Dependabot version updates

Você pode habilitar Dependabot para gerar automaticamente pull requests e manter suas dependências atualizadas. Para saber mais, confira Sobre as atualizações da versão do Dependabot.

  1. Na página principal do repositório, clique em Configurações.
  2. Clique em Advanced Security.
  3. Ao lado de Dependabot version updates, clique em Habilitar para criar um arquivo de configuração básico dependabot.yml.
  4. Especifique as dependências para atualizar o arquivo e as opções de configuração associadas que houver e, em seguida, fazer commit do arquivo no repositório. Para saber mais, confira Configuração de atualizações de versão do Dependabot.

Configurando Code Security

Observação

Os recursos Code Security estão disponíveis para todos os repositórios públicos e para repositórios privados pertencentes a organizações incluídas em uma equipe ou uma empresa que usa GitHub Code Security ou GitHub Advanced Security.

          GitHub Code Security inclui code scanning, CodeQL CLI e Autofixo do Copilot, bem como outros recursos que encontram e corrige vulnerabilidades em sua base de código.

Você pode configurar code scanning para identificar automaticamente vulnerabilidades e erros no código armazenado em seu repositório usando uma Fluxo de trabalho de análise do CodeQL ou uma ferramenta de terceiros. Dependendo das linguagens de programação em seu repositório, você pode configurar code scanning com CodeQL usando a configuração padrão, na qual GitHub determina automaticamente as linguagens a serem analisadas, os conjuntos de consultas a serem executados e os eventos que acionarão uma nova verificação. Para saber mais, confira Como definir a configuração padrão da verificação de código.

  1. Na página principal do repositório, clique em Configurações.
  2. Na seção "Segurança" da barra lateral, clique Advanced Security em .
  3. Se "Code Security" ou "GitHub Advanced Security" ainda não estiver habilitado, clique em Habilitar.
  4. À direita de "Análise do CodeQL", selecione Configurar e clique em Padrão.
  5. Na janela pop-up exibida, examine as configurações padrão do repositório e clique em Habilitar CodeQL.
  6. Escolha se deseja habilitar recursos de adição, como Autofixo do Copilot.

Como alternativa à configuração padrão, você pode usar a configuração avançada, que gera um arquivo de fluxo de trabalho que você pode editar para personalizar seu code scanning com CodeQL. Para saber mais, confira Como definir a configuração avançada para verificação de código.

Configurando Secret Protection

Observação

Os recursos do Secret Protection estão disponíveis para todos os repositórios públicos e para repositórios privados pertencentes a organizações que fazem parte de uma equipe ou de uma empresa que usa GitHub Secret Protection ou GitHub Advanced Security.

          GitHub Secret Protection inclui secret scanning e proteção contra push, bem como outros recursos que ajudam você a detectar e evitar vazamentos secretos em seu repositório.
  1. Na página principal do repositório, clique em Configurações.
  2. Clique Advanced Security.
  3. Se "Secret Protection" ou "GitHub Advanced Security" ainda não estiver habilitado, clique em Habilitar.
  4. Se a opção "Secret scanning" for mostrada, clique em Habilitar.
  5. Escolha se deseja habilitar recursos adicionais, como verificação de padrões que não são de provedor e proteção por push.

Definir uma política de segurança

Se você é um mantenedor de repositório, é uma boa prática especificar uma política de segurança para o repositório criando um arquivo chamado SECURITY.md nele. Este arquivo instrui os usuários sobre a melhor forma de contatar e colaborar com você quando quiserem relatar vulnerabilidades de segurança em seu repositório. Você pode exibir a política de segurança de um repositório na guia Security and quality do repositório.

  1. Na página principal do repositório, clique em Security and quality.
  2. Na barra lateral esquerda, em "Relatório", clique em Política.
  3. Clique em Iniciar instalação.
  4. Adicione informações sobre versões compatíveis do seu projeto e como relatar vulnerabilidades.

Para saber mais, confira Adicionar uma política de segurança a um repositório.

Próximas etapas

Você pode visualizar e gerenciar alertas de funcionalidades de segurança para resolver dependências e vulnerabilidades no seu código. Para saber mais, confira Visualizando e atualizando alertas do Dependabot, Gerenciar pull requests para atualizações de dependências, Avaliar alertas de varredura de código para seu repositório e Gerenciar alertas de verificação de segredo.

Você também pode usar as ferramentas de GitHub para auditar respostas a alertas de segurança. Para saber mais, confira Alertas de segurança de auditoria.

          Se você tiver uma vulnerabilidade de segurança em um repositório público, poderá criar um aviso de segurança para discutir e corrigir a vulnerabilidade de forma privada. Para saber mais, confira [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories) e [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory).

Se você usar GitHub Actions, poderá aproveitar os recursos de segurança do GitHub para aumentar a segurança de seus fluxos de trabalho. Para saber mais, confira Referência de uso seguro.