Skip to main content

Recursos de segurança do GitHub

Uma visão geral das funcionalidades de segurança de GitHub

Sobre as funcionalidades de segurança de GitHub

GitHub tem funcionalidades de segurança que ajudam a manter códigos e segredos seguros nos repositórios e entre organizações. Alguns recursos estão disponíveis para os repositórios em todos os planos. Há recursos adicionais disponíveis para as empresas que usam o GitHub Advanced Security. Os recursos do GitHub Advanced Security também estão habilitados para todos os repositórios públicos no GitHub. Para saber mais, confira Sobre a Segurança Avançada do GitHub.

O GitHub Advisory Database contém uma lista de vulnerabilidades de segurança que você pode visualizar, pesquisar e filtrar. Para saber mais, confira Como procurar avisos de segurança no GitHub Advisory Database.

Disponível para todos os repositórios

Política de segurança

Facilite o acesso dos seus usuários para relatar confidencialmente vulnerabilidades de segurança que encontraram no seu repositório. Para saber mais, confira Adicionar uma política de segurança a um repositório.

Dependabot alerts e atualizações de segurança

Ver alertas sobre dependências conhecidas por conter vulnerabilidades de segurança e escolher se deseja gerar pull requests para atualizar essas dependências automaticamente. Para saber mais, confira Sobre alertas do Dependabot e Sobre as atualizações de segurança do Dependabot.

Você pode usar Regras de triagem automática do Dependabot curados por GitHub para filtrar automaticamente uma quantidade substancial de falsos positivos. O Dismiss low impact issues for development-scoped dependencies é uma regra predefinida GitHub. Essa regra interna ignora automaticamente certos tipos de vulnerabilidades encontradas nas dependências do npm usadas no desenvolvimento. A regra foi coletada para reduzir falsos positivos e reduzir a fadiga de alerta. Não é possível modificar Predefinições do GitHub. Para saber mais sobre Predefinições do GitHub, confira Usar regras predefinidas do GitHub para priorizar alertas do Dependabot.

Para obter uma visão geral dos diferentes recursos oferecidos pelo Dependabot e instruções sobre como começar, confira Guia de início rápido do Dependabot.

Dependabot version updates

Use Dependabot para levantar automaticamente os pull requests a fim de manter suas dependências atualizadas. Isso ajuda a reduzir a exposição a versões mais antigas de dependências. Usar versões mais recentes facilita a aplicação de patches, caso as vulnerabilidades de segurança sejam descobertas e também torna mais fácil para Dependabot security updates levantar, com sucesso, os pull requests para atualizar as dependências vulneráveis. Também é possível personalizar Dependabot version updates para simplificar sua integração em seus repositórios. Para saber mais, confira Sobre as atualizações da versão do Dependabot.

Gráfico de dependências

O gráfico de dependências permite explorar os ecossistemas e pacotes dos quais o repositório depende e os repositórios e pacotes que dependem do seu repositório.

Encontre o grafo de dependência na guia Insights do seu repositório. Para saber mais, confira Sobre o gráfico de dependências.

Se você tiver pelo menos acesso de leitura ao repositório, poderá exportar o grafo de dependência para o repositório como uma SBOM (conta de materiais de software) compatível com SPDX, por meio da GitHub interface do usuário ou da API REST do GitHub. Para saber mais, confira Como exportar uma lista de materiais de software para seu repositório.

Visão geral da segurança

A visão geral de segurança permite que você analise o cenário geral de segurança da sua organização, exiba tendências e outros insights e gerencie configurações de segurança, facilitando o monitoramento do status de segurança da sua organização e a identificação dos repositórios e das organizações de maior risco. Para saber mais, confira Sobre a visão geral de segurança.

Disponível para repositórios públicos gratuitos

Avisos de segurança

Discute em particular e corrige vulnerabilidades de segurança no código do seu repositório. Em seguida, você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre a vulnerabilidade e incentivar os integrantes da comunidade a atualizá-la. Para saber mais, confira Sobre os avisos de segurança do repositório.

Alertas de verificação de segredo para usuários

Detectar automaticamente tokens ou credenciais que foram verificados em um repositório público de propriedade do usuário. Você pode visualizar alertas para quaisquer segredos que GitHub encontrar no seu código, na guia Segurança do repositório, para que você saiba quais tokens ou credenciais tratar como comprometidas. Para saber mais, confira Sobre alertas secretos de verificação.

Proteção por push para usuários

A proteção por push para usuários protege você automaticamente contra a confirmação acidental de segredos em repositórios públicos, independentemente de o repositório ter secret scanning habilitados. A proteção por push para usuários está desabilitada por padrão, mas é possível desabilitar o recurso a qualquer momento por meio das configurações da sua conta pessoal. Para saber mais, confira Proteção por push para usuários.

Alertas de verificação de segredo para parceiros

Detecte automaticamente segredos vazados em todos os repositórios públicos, bem como pacotes npm públicos. GitHub informa ao provedor de serviços relevante que o segredo pode estar comprometido. Para obter detalhes dos segredos e provedores de serviços com suporte, confira Padrões de varredura de segredos com suporte.

Disponível com GitHub Advanced Security

Muitos recursos do GitHub Advanced Security estão disponíveis e são gratuitos para repositórios públicos no GitHub. As organizações de uma empresa com uma licença do GitHub Advanced Security podem usar as funcionalidades a seguir em todos os repositórios. Para saber mais, confira Sobre a Segurança Avançada do GitHub.

Com uma licença do GitHub Copilot Enterprise, você também pode pedir ajuda ao GitHub Copilot Chat para entender melhor os alertas de segurança nos repositórios de sua organização a partir de recursos do GitHub Advanced Security (code scanning, secret scanning e Dependabot alerts. Para saber mais, confira Como fazer perguntas ao GitHub Copilot no GitHub.

Para obter informações sobre como é possível testar o GitHub Advanced Security de forma gratuita, confira Como configurar uma avaliação gratuita do GitHub Advanced Security.

Code scanning

Detectar automaticamente vulnerabilidades de segurança e erros de codificação em códigos novos ou modificados. São destacados os problemas potenciais, com informações detalhadas, o que permite que você corrija o código antes que seja mesclado no seu branch-padrão. Para saber mais, confira Sobre a varredura de código.

Alertas de verificação de segredo para usuários

Detectar automaticamente tokens ou credenciais que foram verificados em um repositório. Você pode visualizar alertas para quaisquer segredos que GitHub encontrar no seu código, na guia Segurança do repositório, para que você saiba quais tokens ou credenciais tratar como comprometidas. Para obter mais informações, confira Sobre alertas secretos de verificação.

Regras de triagem automática personalizadas

Ajudar a gerenciar em escala seus dados Dependabot alerts. Com regras de triagem automática personalizadas você tem controle sobre os alertas que deseja ignorar, adiar ou acionar uma atualização de segurança para. Dependabot. Para saber mais, confira Sobre alertas do Dependabot e Personalizando regras de triagem automática para priorizar alertas do Dependebot.

Análise de dependência

Mostre o impacto completo das alterações nas dependências e veja detalhes de qualquer versão vulnerável antes de fazer merge de um pull request. Para saber mais, confira Sobre a análise de dependência.

Leitura adicional