Sobre GitHub Segurança Avançada

          GitHub disponibiliza recursos de segurança extras para clientes que compram GitHub Code Security ou estão GitHub Secret Protection.

Quem pode usar esse recurso?

O GitHub Code Security e o GitHub Secret Protection estão disponíveis para contas no GitHub Enterprise Server.

Para obter mais informações, consulte Planos do GitHub.

Para obter informações sobre o GitHub Advanced Security for Azure DevOps, veja Configurar o GitHub Advanced Security for Azure DevOps no Microsoft Learn.

Neste artigo

Sobre GitHub Advanced Securityprodutos

          GitHub tem muitos recursos que ajudam você a melhorar e manter a qualidade do código. Alguns deles estão incluídos em todos os planos, como grafo de dependência e Dependabot alerts.

Outros recursos de segurança exigem que você compre um dos produtos de GitHubAdvanced Security.

  • GitHub Secret Protection, que inclui recursos que ajudam você a detectar e evitar vazamentos de segredos, como a secret scanning e a proteção de push.
  • GitHub Code Security, que inclui recursos que ajudam você a encontrar e corrigir vulnerabilidades, como code scanning, recursos premium do Dependabot e a revisão de dependência.

Como alternativa, você pode ter uma licença do GitHub Advanced Security que inclui todos os recursos na GitHub Secret Protection e na GitHub Code Security.

Você deve estar em um plano GitHub Team ou GitHub Enterprise para comprar GitHub Code Security ou GitHub Secret Protection. Para saber mais, confira Planos do GitHub e GitHub Advanced Security cobrança de licença.

GitHub Code Security

Você obtém os seguintes recursos com GitHub Code Security:

  •         **
        Code scanning
        **: pesquise possíveis vulnerabilidades de segurança e erros de codificação em seu código usando CodeQL ou uma ferramenta de terceiros.

  •         **
        CodeQL CLI
        **: execute CodeQL processos localmente em projetos de software ou para gerar code scanning resultados para upload em GitHub.

  •         **
        Regras de triagem automática personalizadas para Dependabot**: gerencie escala automatizando quais alertas você deseja ignorar, suspender ou disparar uma Dependabot atualização de segurança.

  •         **Análise de dependência**: mostre o impacto total das alterações nas dependências e veja os detalhes de todas as versões vulneráveis antes de mesclar uma solicitação de pull.

  •         **Visão geral da segurança**: entenda a distribuição de risco em toda a sua organização.

Para obter mais informações sobre os recursos, confira GitHub recursos de segurança.

GitHub Secret Protection

Você obtém os seguintes recursos com GitHub Secret Protection:

  •         **Secret scanning**: detecte segredos, por exemplo, chaves e tokens, que foram inseridos em um repositório e receba alertas.

  •         **Proteção de push**: Evite vazamentos de segredo antes que eles ocorram bloqueando commits que contêm segredos. 

  •         **Padrões personalizados**: detecte e impeça vazamentos de segredos específicos da organização. 

  •         **Bypass delegado para proteção de push** e **Dispensa de alerta delegada**: implemente um processo de aprovação para melhor controle sobre quem em sua empresa pode executar ações confidenciais, dando suporte à governança em escala. 

  •         **Visão geral de segurança**: entenda a distribuição de risco em toda a sua organização.

Para obter mais informações sobre recursos individuais, confira GitHub recursos de segurança.

Executar uma avaliação gratuita de risco de segurança

          <a href="https://github.com/get_started?with=risk-assessment&ref_product=code-scanning&ref_type=engagement&ref_style=button" target="_blank" class="btn btn-primary mt-3 mr-3 no-underline">
          <span>Introdução às avaliações de risco de segurança</span><svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-link-external" aria-label="link external icon" role="img"><path d="M3.75 2h3.5a.75.75 0 0 1 0 1.5h-3.5a.25.25 0 0 0-.25.25v8.5c0 .138.112.25.25.25h8.5a.25.25 0 0 0 .25-.25v-3.5a.75.75 0 0 1 1.5 0v3.5A1.75 1.75 0 0 1 12.25 14h-8.5A1.75 1.75 0 0 1 2 12.25v-8.5C2 2.784 2.784 2 3.75 2Zm6.854-1h4.146a.25.25 0 0 1 .25.25v4.146a.25.25 0 0 1-.427.177L13.03 4.03 9.28 7.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.75-3.75-1.543-1.543A.25.25 0 0 1 10.604 1Z"></path></svg></a>

As organizações em GitHub Team e GitHub Enterprise podem realizar avaliações gratuitas de risco de segurança para entender sua exposição a vulnerabilidades de segurança.

Implantando GitHub Code Security e GitHub Secret Protection

Para saber mais sobre como planejar sua implantação de GitHub Code Security e GitHub Secret Protection de forma abrangente e examinar as fases de implementação que recomendamos, consulte Adotando o GitHub Advanced Security em escala.

Habilitando recursos

Você pode habilitar rapidamente os recursos de segurança em escala com um security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar os recursos do Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.

Se você estiver em um plano GitHub Team ou GitHub Enterprise, o uso de licença para todo o time ou empresa será mostrado na página de licença.

Sobre GitHub Advanced Security com Azure Repos

Se você quiser usar GitHub Advanced Security com Azure Repos, consulte GitHub Advanced Security & Azure DevOps no nosso site de recursos. Para obter documentação, consulte Configure GitHub Advanced Security for Azure DevOps no Microsoft Learn.

Leitura adicional

  •         [AUTOTITLE](/code-security/getting-started/github-security-features)

  •         [
        GitHub roteiro público](https://github.com/github/roadmap)

  •         [AUTOTITLE](/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-code-security-and-analysis-for-your-enterprise)