Sobre GitHub Segurança Avançada

O GitHub disponibiliza recursos de segurança extras para clientes do que compram o GitHub Code Security ou o GitHub Secret Protection. Alguns recursos estão disponíveis para repositórios públicos por padrão.

Quem pode usar esse recurso?

O GitHub Code Security e o GitHub Secret Protection estão disponíveis para contas no GitHub Team e GitHub Enterprise Cloud.

Alguns recursos também estão disponíveis gratuitamente para repositórios públicos no GitHub.com. Para obter mais informações, consulte Planos do GitHub.

Para obter informações sobre o GitHub Advanced Security for Azure DevOps, veja Configurar o GitHub Advanced Security for Azure DevOps no Microsoft Learn.

Neste artigo

Sobre produtos do GitHub Advanced Security

O GitHub tem muitas funcionalidades que ajudam você a melhorar e manter a qualidade do seu código. Alguns deles estão incluídos em todos os planos, como o grafo de dependência e os Dependabot alerts.

Outros recursos de segurança exigem que você compre um dos produtos de Advanced Security GitHub:

  • GitHub Secret Protection, que inclui recursos que ajudam você a detectar e evitar vazamentos de segredos, como a secret scanning e a proteção de push.
  • GitHub Code Security, que inclui recursos que ajudam você a encontrar e corrigir vulnerabilidades, como code scanning, recursos premium do Dependabot e a revisão de dependência.

Alguns desses recursos, como o code scanning e o secret scanning, estão habilitados para repositórios públicos por padrão. Para executar o recurso em seus repositórios privados ou internos, você precisa comprar o produto relevante do GitHub Advanced Security.

Você precisa ter um plano GitHub Team ou GitHub Enterprise para comprar o GitHub Code Security ou o GitHub Secret Protection. Para saber mais, confira Planos do GitHub e Cobrança de licença do GitHub Advanced Security.

GitHub Code Security

Você obtém os seguintes recursos com o GitHub Code Security:

  •         **Code scanning**: procure possíveis vulnerabilidades de segurança e erros de codificação no código usando CodeQL ou uma ferramenta de terceiro.

  •         **CodeQL CLI**: execute processos do CodeQL localmente em projetos de software ou com o objetivo de gerar resultados do code scanning para upload no GitHub.

  •         **Autofixo do Copilot**: obtenha correções geradas automaticamente para alertas da code scanning. 

  •         **Campanhas de segurança**: reduza a dívida de segurança em escala.

  •         **Regras de triagem automática personalizadas para Dependabot**: gerencie seus Dependabot alerts em escala, automatizando quais alertas você deseja ignorar, adiar ou disparar uma atualização de segurança do Dependabot.

  •         **Análise de dependência**: mostre o impacto total das alterações nas dependências e veja os detalhes de todas as versões vulneráveis antes de mesclar uma solicitação de pull.

  •         **Visão geral da segurança**: entenda a distribuição de risco em toda a sua organização.

A tabela abaixo resume a disponibilidade de funcionalidades de GitHub Code Security para repositórios públicos e privados.

Repositório público
sem a GitHub Code Security		Repositório privado
sem a GitHub Code Security		Repositório público ou privado
com a GitHub Code Security
Code scanning
CodeQL CLI
Autofixo do Copilot
Campanhas de segurança
Regras de triagem automática personalizadas
Análise de dependência
Visão geral da segurança

Para obter mais informações sobre os recursos, confira Recursos de segurança do GitHub.

GitHub Secret Protection

Você obtém os seguintes recursos com o GitHub Secret Protection:

  •         **Secret scanning**: detecte segredos, por exemplo, chaves e tokens, que foram inseridos em um repositório e receba alertas.

  •         **Proteção de push**: Evite vazamentos de segredo antes que eles ocorram bloqueando commits que contêm segredos. 

  •         **Verificação de segredos do Copilot**: aproveite a IA para detectar credenciais não estruturadas, como senhas, que foram inseridas em um repositório. 

  •         **Padrões personalizados**: detecte e impeça vazamentos de segredos específicos da organização. 

  •         **Bypass delegado para proteção de push** e **Dispensa de alerta delegada**: implemente um processo de aprovação para melhor controle sobre quem em sua empresa pode executar ações confidenciais, dando suporte à governança em escala. 

  •         **Campanhas de segurança**: corrija os segredos expostos em escala criando uma campanha e colaborando para corrigi-los. 

  •         **Visão geral de segurança**: entenda a distribuição de risco em toda a sua organização.

A tabela abaixo resume a disponibilidade de funcionalidades de GitHub Secret Protection para repositórios públicos e privados.

Repositório público
sem a GitHub Secret Protection		Repositório privado
sem a GitHub Secret Protection		Repositório público ou privado
com o GitHub Secret Protection
Verificação de segredo
Proteção por push
Verificação de segredos do Copilot
Padrões personalizados
Bypass delegado para proteção de push
Campanhas de segurança
Visão geral da segurança

Para obter mais informações sobre recursos individuais, confira Recursos de segurança do GitHub.

Executar uma avaliação da exposição de sua organização a vazamentos de segredos

Descubra como executar uma avaliação de risco de segredo gratuita

Organizações no GitHub Team e no GitHub Enterprise podem executar um relatório gratuito para verificar o código em sua organização em busca de segredos vazados. Isso pode ajudar você a entender a exposição atual dos repositórios em sua organização a segredos vazados, bem como a ver quantos vazamentos de segredos existentes poderiam ter sido evitados pela GitHub Secret Protection.

Implantando o GitHub Code Security e o GitHub Secret Protection

Para saber quais informações você precisa ter para planejar sua implantação do GitHub Code Security e do GitHub Secret Protection em alto nível e para revisar as fases de implantação que recomendamos, confira Adotando o GitHub Advanced Security em escala.

Habilitando recursos

Você pode habilitar rapidamente os recursos de segurança em escala com um security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar os recursos do Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.

Se você estiver em um plano GitHub Team ou GitHub Enterprise, o uso da licença para toda a equipe ou empresa será exibido na sua página de licença. Consulte Como exibir o uso de licenças e produtos mensuráveis.

Gerenciando GitHub Advanced Security

Os proprietários de empresas podem gerenciar o licenciamento e o acesso ao GitHub Advanced Security para sua empresa, incluindo desabilitar GitHub Advanced Security em todos os repositórios e prevenir sua reativação futura. Confira Gerenciando licenças de volume para GitHub Advanced Security.

Para maus informações sobre como gerenciar sua licença GitHub Advanced Security, consulte Gerenciando o uso pago do Advanced Security.

Sobre a certificação do GitHub Advanced Security

Você pode realçar os conhecimentos obtidos ganhando um certificado de GitHub Advanced Security com GitHub Certifications. A certificação valida sua experiência em identificação de vulnerabilidades, segurança de fluxos de trabalho e implementação de segurança robusta. Confira Sobre GitHub Certifications.

Sobre o GitHub Advanced Security com o Azure Repos

Se você deseja usar GitHub Advanced Security com o Azure Repos, consulte GitHub Advanced Security & Azure DevOps em nosso site de recursos. Para obter a documentação, confira Configurar o GitHub Advanced Security for Azure DevOps no Microsoft Learn.

Leitura adicional

  •         [AUTOTITLE](/code-security/getting-started/github-security-features)

  •         [Roteiro público do GitHub](https://github.com/github/roadmap)