Code security guides
Saiba mais sobre as diferentes maneiras que GitHub pode ajudar você a melhorar a segurança do seu código.
Fix and disclose a security vulnerability
Using repository security advisories to privately fix a reported vulnerability and get a CVE.Start learning path- 1Overview
Sobre a divulgação coordenada de vulnerabilidades de segurança
A divulgação das vulnerabilidades é um esforço coordenado entre os relatores de segurança e os mantenedores de repositório. - 2Overview
About the GitHub Advisory database
The GitHub Advisory Database contains a list of known security vulnerabilities and malware, grouped in two categories: GitHub-reviewed advisories and unreviewed advisories. - 3Overview
Sobre os avisos de segurança global
O banco de dados de segurança global reside no GitHub Advisory Database, que contém CVEs e avisos de segurança originados em GitHub que afetam o mundo do código aberto. Você pode contribuir para melhorar os avisos globais. - 4Overview
Sobre os avisos de segurança do repositório
Você pode usar avisos de segurança do repositório para discutir de maneira privada, corrigir e publicar informações sobre vulnerabilidades de segurança em seu repositório. - 5How-to guide
Melhores práticas para escrever avisos de segurança do repositório
Quando você cria ou edita avisos de segurança, os outros usuários conseguem entender melhor as informações fornecidas quando são especificados o ecossistema, o nome do pacote e as versões afetadas usando os formatos padrão. - 6How-to guide
Privately reporting a security vulnerability
Some public repositories configure security advisories so that anyone can report security vulnerabilities directly and privately to the maintainers. - 7How-to guide
Managing privately reported security vulnerabilities
Repository maintainers can manage security vulnerabilities that have been privately reported to them by security reseachers for repositories where private vulnerability reporting is enabled. - 8How-to guide
Configuring private vulnerability reporting for a repository
Owners and administrators of public repositories can allow security researchers to report vulnerabilities securely in the repository by enabling private vulnerability reporting. - 9How-to guide
Creating a repository security advisory
You can create a draft security advisory to privately discuss and fix a security vulnerability in your open source project. - 10How-to guide
Adicionando um colaborador a uma consultoria de segurança de repositório
É possível adicionar outros usuários ou equipes para colaborar em uma consultoria de segurança com você. - 11How-to guide
Colaborando em uma bifurcação privada temporária para resolver uma vulnerabilidade de segurança do repositório
Você pode criar uma bifurcação privada temporária para colaborar de maneira privada na correção de uma vulnerabilidade de segurança em seu repositório. - 12How-to guide
Publicando uma consultoria de segurança do repositório
Você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre uma vulnerabilidade de segurança no seu projeto. - 13How-to guide
Editando uma consultoria de segurança do repositório
Você pode editar os metadados e a descrição de uma consultoria de segurança do repositório, se precisar atualizar detalhes ou corrigir erros. - 14How-to guide
Retirando uma consultoria de segurança do repositório
Você pode retirar uma consultoria de segurança do repositório que você publicou. - 15How-to guide
Removendo um colaborador de uma consultoria de segurança de repositório
Ao remover um colaborador de uma consultoria de segurança do repositório, ele perderá acesso de leitura e gravação às discussões e metadados da consultoria de segurança.
Code security learning paths
Get notifications for insecure dependencies
Set up Dependabot to alert you to new vulnerabilities or malware in your dependencies.
Get pull requests to update your vulnerable dependencies
Set up Dependabot to create pull requests when new vulnerabilities are reported.
Keep your dependencies up-to-date
Use Dependabot to check for new releases and create pull requests to update your dependencies.
Run code scanning with GitHub Actions
Check your default branch and every pull request to keep vulnerabilities and errors out of your repository.
Run CodeQL code scanning in your CI
Set up CodeQL within your existing CI and upload results to GitHub code scanning.
Integrate with code scanning
Upload code analysis results from third-party systems to GitHub using SARIF.
End-to-end supply chain
How to think about securing your user accounts, your code, and your build process.
All Code security guides
Adding a security policy to your repository
How-to guideYou can give instructions for how to report a security vulnerability in your project by adding a security policy to your repository.
- Security policies
- Vulnerabilities
- Repositories
- Health
GitHub security features
OverviewAn overview of GitHub security features.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Securing your organization
How-to guideYou can use a number of GitHub features to help keep your organization secure.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Securing your repository
How-to guideYou can use a number of GitHub features to help keep your repository secure.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
About secret scanning
OverviewGitHub scans repositories for known types of secrets, to prevent fraudulent use of secrets that were committed accidentally.
- Secret scanning
- Advanced Security
Configuring secret scanning for your repositories
How-to guideYou can configure how GitHub scans your repositories for secrets that match advanced security patterns.
- Secret scanning
- Advanced Security
- Repositories
Defining custom patterns for secret scanning
How-to guideYou can extend secret scanning for advanced security to detect secrets beyond the default patterns.
- Advanced Security
- Secret scanning
Managing alerts from secret scanning
How-to guideYou can view and close alerts for secrets checked in to your repository.
- Secret scanning
- Advanced Security
- Alerts
- Repositories
Protecting pushes with secret scanning
How-to guideYou can use secret scanning to prevent supported secrets from being pushed into your organization or repository by enabling push protection.
- Secret scanning
- Advanced Security
- Alerts
- Repositories