Introdução
Como proprietário da organização ou gerenciador de segurança, você pode usar os recursos de segurança do GitHubpara manter o código, as dependências e os segredos da sua organização seguros. Para obter mais informações, confira "Recursos de segurança do GitHub".
As necessidades de segurança da sua organização são exclusivas. Talvez você queira habilitar um recurso se a sua organização tiver sido afetada por uma vulnerabilidade que um determinado recurso teria evitado ou se o recurso ajudará sua organização a atender a um requisito de conformidade.
Você pode habilitar recursos de segurança em vários repositórios em uma organização ao mesmo tempo. Para cada recurso que você deseja habilitar, você deve decidir como distribuir o recurso nos repositórios da sua organização. Diferentes recursos têm efeitos diferentes em sua organização e seus colaboradores, portanto, é importante avaliar o impacto que cada recurso terá. Por exemplo:
- Alguns recursos podem gerar notificações para informar os membros da sua organização sobre vulnerabilidades específicas: para garantir que essas notificações sejam direcionadas e relevantes, convém solicitar que os membros marquem suas configurações de notificação antes de habilitar um recurso. Para obter mais informações, confira "Configurar notificações".
- Alguns recursos podem consumir recursos para cada repositório no qual estão habilitados. Por exemplo, habilitar o code scanning em um repositório privado pode consumir uma licença GitHub Advanced Security e executar a análise do code scanning em um repositório incorrerá no uso de GitHub Actions ou em outro sistema de CI.
Como proprietário da organização, você pode conceder a determinados usuários permissão para habilitar ou desabilitar recursos de segurança atribuindo a função de "gerenciador de segurança" a uma equipe. Os gerentes de segurança podem definir as configurações de segurança e monitorar o uso de recursos de segurança em toda a sua organização. Para obter mais informações, confira "Gerenciando os gerentes de segurança da sua organização".
Sobre os pré-requisitos de recursos
Alguns recursos de segurança têm pré-requisitos. Por exemplo, Dependabot alerts usam informações do grafo de dependência, portanto, habilitar o Dependabot alerts habilita automaticamente o grafo de dependência.
Alguns recursos são disponíveis apenas para empresas que usam GitHub Advanced Security e habilitaram Advanced Security como um recurso para repositórios. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".
Nota: As empresas podem definir uma política para gerenciar quais organizações podem habilitar o GitHub Advanced Security. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".
Há alguns recursos que você deve configurar para cada repositório individualmente. Por exemplo, para habilitar Dependabot version updates em um repositório, você deve adicionar um arquivodependabot.yml
especificando onde encontrar informações sobre as dependências do projeto. Para obter mais informações, confira "Configurando a versão das atualizações do Dependabot".
Habilitar recursos de segurança em sua organização
Quando você decide habilitar um recurso de segurança, a próxima etapa é decidir como implementar esse recurso em toda a organização.
- Se você quiser implantar um recurso o mais rápido possível, poderá habilitá-lo para todos os repositórios qualificados de uma só vez. Para obter mais informações, confira "Como habilitar um recurso para todos os repositórios".
- Se você quiser controlar a rapidez com que distribui um recurso e quais recursos estão habilitados em quais repositórios, você pode habilitar um recurso para uma seleção de repositórios. Para obter mais informações, confira "Como habilitar um recurso para todos os repositórios".
Ao decidir como habilitar um recurso para os repositórios existentes da sua organização, você também deve decidir como lidar com os novos repositórios criados em sua organização no futuro. Para obter mais informações, confira "Como habilitar um recurso para novos repositórios".
Para obter mais informações sobre como criar uma estratégia para distribuir recursos de segurança em uma grande organização ou empresa, confira "Introdução à adoção do GitHub Advanced Security em escala".
Habilitar um recurso para todos os repositórios
A maneira mais rápida de implantar um recurso de segurança é habilitá-lo para todos os repositórios em sua organização de uma só vez. Se você identificou uma necessidade crítica de um recurso, habilitá-lo para todos os repositórios oferece proteção em toda a sua organização, sem exigir que você pause para elaborar um plano de distribuição.
Antes de habilitar um recurso para todos os repositórios, considere o impacto que essa ação terá. Se você não tiver certeza sobre os efeitos que um recurso terá, é mais seguro começar habilitando o recurso para uma seleção limitada de repositórios. A habilitação de um recurso para todos os repositórios ao mesmo tempo provavelmente será uma opção adequada nas situações a seguir.
- Você tem uma visão geral de todos os repositórios em sua organização e está confiante de que todos eles se beneficiarão de um determinado recurso.
- Se um recurso exigir recursos como licenças do GitHub Advanced Security ou GitHub Actions, você avaliou os recursos que serão necessários e está feliz em continuar.
- Se o recurso gerar notificações ou solicitações de pull, você estará confiante de que elas serão direcionadas e relevantes para os membros que as recebem ou precisam revisá-las.
Quando estiver pronto para continuar, siga estas etapas para habilitar um recurso para todos os repositórios.
-
No sua instância do GitHub Enterprise Server, navegue até a página principal da organização.
-
No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança de código e análise.
-
Localize o recurso que você deseja habilitar e use as caixas de seleção associadas para ajustar as opções.
-
Quando estiver pronto para habilitar o recurso em todos os repositórios em sua organização em que o recurso tem suporte, ao lado do nome do recurso, clique em Habilitar tudo.
Ao clicar em Habilitar tudo, você precisará confirmar sua escolha. Você também será informado se o recurso depende de outro recurso ou requer GitHub Advanced Security. Para obter mais informações, confira "Gerenciando as configurações de segurança e de análise da sua organização".
Habilitar um recurso para uma seleção de repositórios
Em alguns casos, é melhor identificar uma seleção de repositórios que exigem um recurso e habilitar o recurso apenas para esses repositórios.
Se você não tiver certeza sobre o impacto que um recurso terá, talvez queira testar o recurso em uma seleção limitada de repositórios antes de se comprometer com a habilitação do recurso para todos os repositórios ou talvez queira implantar o recurso gradualmente em várias fases. Você também pode estar ciente de que alguns repositórios em sua organização exigem um conjunto diferente de recursos do que outros.
Ao identificar os repositórios que exigem um recurso, você pode habilitar o recurso para cada repositório individualmente. Como um proprietário da organização ou gerenciador de segurança, você pode definir as configurações de segurança para cada repositório em sua organização. Para obter mais informações, confira "Proteger o repositório".
Se você tiver um número limitado de licenças para GitHub Advanced Security, convém priorizar repositórios que contêm projetos críticos ou que tenham as frequências de confirmação mais altas. Para obter mais informações, confira "Sobre o faturamento da Segurança Avançada do GitHub".
Habilitar um recurso para novos repositórios
Você pode optar por habilitar um recurso de segurança automaticamente em todos os novos repositórios criados em sua organização. Habilitar recursos em novos repositórios garante que eles sejam protegidos imediatamente e garante que quaisquer vulnerabilidades nos repositórios sejam identificadas o mais cedo possível. No entanto, para usar os recursos de segurança da forma mais eficiente possível, talvez você prefira examinar cada novo repositório individualmente.
-
No sua instância do GitHub Enterprise Server, navegue até a página principal da organização.
-
No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança de código e análise.
-
Abaixo do nome do recurso, selecione a opção para habilitar automaticamente o recurso em repositórios futuros aplicáveis.
Monitorar o impacto dos recursos de segurança
Quando você tiver habilitado um recurso, deverá se comunicar com administradores e colaboradores do repositório em sua organização para avaliar o impacto do recurso. Talvez seja necessário ajustar a configuração de alguns recursos no nível do repositório ou reavaliar a distribuição de recursos de segurança em toda a sua organização. Você também deve monitorar os alertas de segurança gerados por um recurso e as respostas dos membros a esses alertas.
Você podem usar a visão geral de segurança para ver quais equipes e repositórios são afetados por alertas de segurança, com um detalhamento de alertas por gravidade. Para obter mais informações, confira "Avaliar o risco de segurança do código".
Você pode usar várias ferramentas para monitorar as ações que os membros da sua organização estão tomando em resposta a alertas de segurança. Para obter mais informações, confira "Alertas de segurança de auditoria".
Próximas etapas
Para ajudar os usuários a relatar vulnerabilidades de segurança, você pode criar uma política de segurança padrão que será exibida em qualquer um dos repositórios públicos da sua organização que não tenham sua política de segurança. Para obter mais informações, confira "Como criar um arquivo padrão de integridade da comunidade".
Depois que a configuração de segurança da sua organização estiver em vigor, convém impedir que os usuários alterem as configurações de segurança em um repositório. Um proprietário da empresa pode impedir que os administradores do repositório habilitem ou desabilitem recursos em um repositório. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".
Se você usar GitHub Actions, poderá aproveitar os recursos de segurança do GitHub para aumentar a segurança de seus fluxos de trabalho. Para obter mais informações, confira "Usar os recursos de segurança do GitHub para proteger seu uso do GitHub Actions".