Sobre o GitHub Advanced Security
GitHub tem muitas funcionalidades que ajudam você a melhorar e manter a qualidade do seu código. Alguns deles estão incluídos em todos os planos, como o grafo de dependência e os Dependabot alerts. Outras funcionalidades de segurança exigem que o GitHub Advanced Security (GHAS) seja executado em repositórios, além de repositórios públicos no GitHub.com.
Para obter informações sobre como é possível testar o GitHub Enterprise com o GitHub Advanced Security de forma gratuita, confira “Configurar uma versão de avaliação do GitHub Enterprise Cloud” e “Como configurar uma avaliação gratuita do GitHub Advanced Security” na documentação do GitHub Enterprise Cloud.
Para comprar uma licença do GitHub Advanced Security você precisa usar o GitHub Enterprise. Para obter informações sobre como atualizar para GitHub Enterprise com GitHub Advanced Security, confira "Planos do GitHub" e "Sobre o faturamento da Segurança Avançada do GitHub".
Observação: se você quiser usar o GitHub Advanced Security com o Azure Repos, consulte GitHub Advanced Security e Azure DevOps em nosso site de recursos. Para obter a documentação, confira Configurar o GitHub Advanced Security for Azure DevOps no Microsoft Learn.
Sobre as funcionalidades de Advanced Security
Uma licença de GitHub Advanced Security fornece os seguintes recursos adicionais para repositórios privados:
-
Code scanning – Procure possíveis vulnerabilidades de segurança e erros de codificação no código usando CodeQL ou uma ferramenta de terceiro. Consulte "Sobre a varredura de código" e "Sobre a varredura de código com CodeQL".
-
CodeQL CLI - Execute processos do CodeQL localmente em projetos de software ou para gerar resultados da code scanning para upload no GitHub. Confira "Sobre a CLI do CodeQL".
-
Secret scanning - Detectar segredos, por exemplo, chaves e tokens, que foram verificados em repositórios privados. Se a proteção por push estiver habilitada, GitHub também detectará segredos quando eles forem enviados por push para o repositório. Alertas de verificação de segredo para usuários e proteção contra push estão disponíveis e são gratuitos para todos os repositórios públicos em GitHub.com. Consulte "Sobre a verificação de segredo" e "Sobre a proteção por push".
-
Regras de triagem automática personalizadas - Ajudar a gerenciar em escala seus dados Dependabot alerts. Com regras de triagem automática personalizadas você tem controle sobre os alertas que deseja ignorar, adiar ou acionar uma atualização de segurança para. Dependabot. Para obter mais informações, confira "Sobre alertas do Dependabot" e "Personalizando regras de triagem automática para priorizar alertas do Dependebot."
-
Revisão de dependência – Mostre o impacto total das alterações nas dependências e veja os detalhes de todas as versões vulneráveis antes de mesclar uma solicitação de pull. Confira "Sobre a análise de dependência".
A tabela abaixo resume a disponibilidade dos recursos do GitHub Advanced Security para repositórios públicos e privados.
Repositório público | Repositório privado sem Advanced Security | Repositório privado com Advanced Security | |
---|---|---|---|
Varredura de código | |||
CodeQL CLI | |||
Verificação de segredo | |||
Regras de triagem automática personalizadas | |||
Análise de dependência |
Para obter informações sobre os recursos do Advanced Security em desenvolvimento, confira "Roteiro público do GitHub". Para obter uma visão geral de todos os recursos de segurança, confira "Recursos de segurança do GitHub".
As funcionalidades de GitHub Advanced Security estão habilitadas para todos os repositórios públicos no GitHub.com. As organizações que usam GitHub Enterprise Cloud com Advanced Security também podem habilitar essas funcionalidades para repositórios internos e privados. Consulte a documentação do GitHub Enterprise Cloud.
Sobre certificação em GitHub Advanced Security
Você pode aprimorar seus conhecimentos de segurança de código obtendo um certificado com GitHub Advanced Security com GitHub Certifications. A certificação valida sua experiência em identificação de vulnerabilidades, segurança de fluxos de trabalho e implementação de segurança robusta. Confira "Sobre GitHub Certifications".