Sobre as funcionalidades de segurança de GitHub
GitHub tem funcionalidades de segurança que ajudam a manter códigos e segredos seguros nos repositórios e entre organizações. Alguns recursos estão disponíveis para os repositórios em todos os planos. Há recursos adicionais disponíveis para as empresas que usam o GitHub Advanced Security. Os recursos do GitHub Advanced Security também estão habilitados para todos os repositórios públicos no GitHub.com. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".
O GitHub Advisory Database contém uma lista de vulnerabilidades de segurança que você pode visualizar, pesquisar e filtrar. Para obter mais informações, confira "Como procurar avisos de segurança no GitHub Advisory Database".
Disponível para todos os repositórios
Política de segurança
Facilite o acesso dos seus usuários para relatar confidencialmente vulnerabilidades de segurança que encontraram no seu repositório. Para obter mais informações, confira "Adicionar uma política de segurança a um repositório".
Avisos de segurança
Discute em particular e corrige vulnerabilidades de segurança no código do seu repositório. Em seguida, você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre a vulnerabilidade e incentivar os integrantes da comunidade a atualizá-la. Para obter mais informações, confira "Sobre os avisos de segurança do repositório".
Dependabot alerts e atualizações de segurança
Ver alertas sobre dependências conhecidas por conter vulnerabilidades de segurança e escolher se deseja gerar pull requests para atualizar essas dependências automaticamente. Para obter mais informações, confira "Sobre alertas do Dependabot" e "Sobre as atualizações de segurança do Dependabot."
atualizações de versão de Dependabot
Use Dependabot para levantar automaticamente os pull requests a fim de manter suas dependências atualizadas. Isso ajuda a reduzir a exposição a versões mais antigas de dependências. Usar versões mais recentes facilita a aplicação de patches, caso as vulnerabilidades de segurança sejam descobertas e também torna mais fácil para Dependabot security updates levantar, com sucesso, os pull requests para atualizar as dependências vulneráveis. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".
Gráfico de dependências
O gráfico de dependências permite explorar os ecossistemas e pacotes dos quais o repositório depende e os repositórios e pacotes que dependem do seu repositório.
Encontre o grafo de dependência na guia Insights do seu repositório. Para obter mais informações, confira "Sobre o gráfico de dependências".
If you have at least read access to the repository, you can export the dependency graph for the repository as an SPDX-compatible, Software Bill of Materials (SBOM). For more information, see "Como exportar uma lista de materiais de software para seu repositório."
Visão geral da segurança
A visão geral de segurança permite que você examine as configurações de segurança e os alertas, o que facilita a identificação dos repositórios e organizações em maior risco. Para obter mais informações, confira "Sobre a visão geral de segurança".
Disponível para repositórios públicos gratuitos
Alertas de verificação de segredo para parceiros
Detectar automaticamente segredos vazados em todos os repositórios públicos. GitHub informa ao provedor de serviços relevante que o segredo pode estar comprometido. Para obter detalhes dos segredos e provedores de serviços com suporte, confira "Padrões de digitalização de segredo".
Disponível com GitHub Advanced Security
Muitos recursos do GitHub Advanced Security estão disponíveis e são gratuitos para repositórios públicos no GitHub.com. As organizações de uma empresa com uma licença do GitHub Advanced Security podem usar as funcionalidades a seguir em todos os repositórios. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".
Code scanning
Detectar automaticamente vulnerabilidades de segurança e erros de codificação em códigos novos ou modificados. São destacados os problemas potenciais, com informações detalhadas, o que permite que você corrija o código antes que seja mesclado no seu branch-padrão. Para obter mais informações, confira "Sobre a varredura de código".
Alertas de verificação de segredo para usuários
Detectar automaticamente tokens ou credenciais que foram verificados em um repositório. Você pode visualizar alertas para quaisquer segredos que GitHub encontrar no seu código, na guia Segurança do repositório, para que você saiba quais tokens ou credenciais tratar como comprometidas. Para obter mais informações, confira "Sobre a verificação de segredo".
Análise de dependência
Mostre o impacto completo das alterações nas dependências e veja detalhes de qualquer versão vulnerável antes de fazer merge de um pull request. Para obter mais informações, confira "Sobre a análise de dependência".