Gerenciando as configurações de segurança e análise do repositório

Sobre as configurações de segurança e análise do repositório

          GitHub oferece vários recursos de segurança diferentes que você pode habilitar para seu repositório para proteger seu código contra vulnerabilidades, acesso não autorizado e outras possíveis ameaças à segurança. 
          Muitos desses recursos estão disponíveis **gratuitamente para repositórios públicos**.

Habilitar ou desabilitar funcionalidades de segurança e análise para repositórios públicos

É possível gerenciar um subconjunto de recursos de segurança e análise para repositórios públicos.

No mínimo, você precisa habilitar o seguinte para seu repositório público:

---

          Dependabot alerts
          ** notifique você sobre vulnerabilidades de segurança na rede de dependência do projeto, para que você possa atualizar a dependência afetada para uma versão mais segura.

---

          Secret scanning
          ** verifica o repositório em busca de segredos (como chaves de API e tokens) e alerta você se um segredo for encontrado, para que você possa remover o segredo do repositório.

•           A **proteção de push** impede que você (e seus colaboradores) introduzam segredos no repositório, bloqueando envios por push que contenham segredos compatíveis.
  

---

          Code scanning
          ** identifica vulnerabilidades e erros no código do repositório, para que você possa corrigir esses problemas antecipadamente e evitar que uma vulnerabilidade ou erro seja explorado por atores mal-intencionados.

Outros recursos ficam habilitados permanentemente para repositórios públicos, como o grafo de dependência, que mostra todas as bibliotecas e pacotes dos quais seu repositório depende.

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Em "Advanced Security", à direita do recurso, clique em Desabilitar ou Habilitar.

Habilitar ou desabilitar recursos de segurança e análise para repositórios privados

Você pode gerenciar os recursos de segurança e análise para seu repositório privado ou interno . Se sua empresa ou organização tiver uma licença para GitHub Code Security ou GitHub Secret Protection, em seguida, opções extras estarão disponíveis. Para saber mais, confira Sobre GitHub Segurança Avançada.

Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Em "Advanced Security", à direita do recurso, clique em Desabilitar ou Habilitar. O controle de "Secret Protection and Code Security" será desabilitado se você organização não tiver licenças disponíveis.

   Observação

   Se você desativar Secret Protection and Code Security, a revisão de dependência alertas de verificação de segredos para usuários e code scanning também serão desativadas. Todos os fluxos de trabalho, uploads SARIF ou chamadas à code scanning API falharão. Se Code Security estiver habilitado novamente, code scanning retornará ao estado anterior.

Permitir acesso a alertas de segurança

          GitHub alertas de segurança são notificações automatizadas que informam quando vulnerabilidades são encontradas nas dependências ou no código do repositório. Eles solicitam que você examine e corrija esses problemas, ajudando a manter o projeto seguro.

Você pode encontrar alertas de segurança de Dependabot, Secret scanning e Code scanning na guia Security and quality do repositório.

Os alertas de segurança de um repositório são visíveis para pessoas com acesso de gravação, manutenção ou administração ao repositório e, quando o repositório pertencer a uma organização, para os proprietários da organização. Você pode dar acesso aos alertas a outras equipes e pessoas.

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Em "Acesso aos alertas", no campo de pesquisa, comece a digitar o nome da pessoa ou equipe que você gostaria de encontrar e, em seguida, clique em um nome na lista de correspondências.

5. Clique em Salvar alterações.

Remover o acesso aos alertas de segurança

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Em "Acesso a alertas", à direita da pessoa ou da equipe cujo acesso você deseja remover, clique em .

   

5. Clique em Salvar alterações.

Leitura adicional

• Guia de Início rápido para proteger seu repositório
• Gerenciando as configurações de segurança e de análise da sua organização