Sobre a gestão de configurações de segurança e análise
O GitHub pode ajudar você a proteger os repositórios na sua organização. É possível gerenciar os recursos de segurança e análise para todos os repositórios existentes ou novos que os integrantes criarem na sua organização. Se você tiver uma licença para GitHub Advanced Security, você também poderá gerenciar o acesso a essas funcionalidades. Para saber mais, confira Sobre a Segurança Avançada do GitHub.
Se sua organização pertencer a uma empresa com uma licença da GitHub Advanced Security, opções extras para gerenciar configurações de segurança e análise poderão estar disponíveis. Para saber mais, confira Como gerenciar os recursos do GitHub Advanced Security na empresa.
Note
Você não pode desabilitar alguns recursos de segurança e análise que estão habilitados por padrão em repositórios públicos.
Você pode habilitar rapidamente os recursos de segurança em escala com o GitHub-recommended security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar ainda mais os recursos do GitHub Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.
Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.
Permitir que o Dependabot obtenha acesso a dependências privadas ou internas
Dependabot pode verificar referências de dependências desatualizadas em um projeto e gerar automaticamente um pull request para atualizá-las. Para fazer isso, Dependabot deve ter acesso a todos os arquivos de dependência de destino. Normalmente, atualizações da versão falharão se uma ou mais dependências forem inacessíveis. Para saber mais, confira Sobre as atualizações da versão do Dependabot.
Por padrão, o Dependabot não pode atualizar dependências localizadas em repositórios privados ou internos, ou em registros de pacotes privados ou internos. No entanto, se uma dependência estiver em um repositório privado ou interno GitHub na mesma organização do projeto que usa essa dependência, você poderá permitir que o Dependabot realize atualizações da versão com êxito ao conceder o acesso ao repositório de hospedagem.
Se o seu código depende de pacotes em um registro privado ou interno, você pode permitir que o Dependabot realize atualizações das versões dessas dependências ao configurar isso no nível do repositório. Você faz isso adicionando detalhes de autenticação ao arquivo dependabot.yml
do repositório. Para obter mais informações, confira Chave registries
de nível superior.
Note
Para que a opção de conceder acesso ao Dependabot a repositórios privados ou internos esteja disponível, você precisa que Dependabot version updates ou Dependabot security updates estejam habilitadas em, no mínimo, um repositório da organização.
Para obter mais informações sobre como conceder acesso para o Dependabot a dependências privadas ou internas, confira Configurações de segurança globais para sua organização.
Remover acesso a GitHub Advanced Security de repositórios individuais em uma organização
É possível usar security configurations para remover o acesso a GitHub Advanced Security de repositórios individuais em uma organização. Para saber mais, confira Como gerenciar o uso de licenças para o GitHub Advanced Security.