Sobre GitHub Advanced Securityprodutos
GitHub tem muitos recursos que ajudam você a melhorar e manter a qualidade do código. Alguns deles estão incluídos em todos os planos, como grafo de dependência e Dependabot alerts.
Outros recursos de segurança exigem que você compre um dos produtos de GitHubAdvanced Security.
-
GitHub Secret Protection, que inclui recursos que ajudam você a detectar e evitar vazamentos de segredos, como a secret scanning e a proteção de push.
-
GitHub Code Security, que inclui recursos que ajudam você a encontrar e corrigir vulnerabilidades, como code scanning, recursos premium do Dependabot e a revisão de dependência.
Alguns desses recursos, como code scanning e secret scanning, são habilitados para repositórios públicos por padrão. Para executar o recurso em seus repositórios privados ou internos, você deve comprar o produto relevante GitHub Advanced Security .
Você deve estar em um plano GitHub Team ou GitHub Enterprise para comprar GitHub Code Security ou GitHub Secret Protection. Para saber mais, confira Planos do GitHub e GitHub Advanced Security cobrança de licença.
GitHub Code Security
Você obtém os seguintes recursos com GitHub Code Security:
-
** Code scanning **: pesquise possíveis vulnerabilidades de segurança e erros de codificação em seu código usando CodeQL ou uma ferramenta de terceiros. -
** CodeQL CLI **: execute CodeQL processos localmente em projetos de software ou para gerar code scanning resultados para upload em GitHub. -
** Copilot Autofix **: Obtenha soluções geradas automaticamente para code scanning alertas. -
**Campanhas de segurança**: reduzir a dívida de segurança em escala. -
** Regras de triagem automática personalizadas para Dependabot**: gerencie escala automatizando quais alertas você deseja ignorar, suspender ou disparar uma Dependabot atualização de segurança. -
**Análise de dependência**: mostre o impacto total das alterações nas dependências e veja os detalhes de todas as versões vulneráveis antes de mesclar uma solicitação de pull. -
**Visão geral da segurança**: entenda a distribuição de risco em toda a sua organização.
A tabela a seguir resume a disponibilidade de GitHub Code Security recursos para repositórios públicos e privados.
| Repositório público Sem GitHub Code Security | Repositório privado Sem GitHub Code Security | Repositório público ou privado com GitHub Code Security | |
|---|---|---|---|
| Code scanning | |||
| CodeQL CLI | |||
| Copilot Autofix | |||
| Campanhas de segurança | |||
| Regras de triagem automática personalizadas | |||
| Análise de dependência | |||
| Visão geral da segurança |
Para obter mais informações sobre os recursos, confira GitHub recursos de segurança.
GitHub Secret Protection
Você obtém os seguintes recursos com GitHub Secret Protection:
-
**Secret scanning**: detecte segredos, por exemplo, chaves e tokens, que foram inseridos em um repositório e receba alertas. -
**Proteção de push**: Evite vazamentos de segredo antes que eles ocorram bloqueando commits que contêm segredos. -
**Verificação de segredos do Copilot**: aproveite a IA para detectar credenciais não estruturadas, como senhas, que foram inseridas em um repositório. -
**Padrões personalizados**: detecte e impeça vazamentos de segredos específicos da organização. -
**Bypass delegado para proteção de push** e **Dispensa de alerta delegada**: implemente um processo de aprovação para melhor controle sobre quem em sua empresa pode executar ações confidenciais, dando suporte à governança em escala. -
**Campanhas de segurança**: corrija os segredos expostos em escala criando uma campanha e colaborando para corrigi-los. -
**Visão geral de segurança**: entenda a distribuição de risco em toda a sua organização.
A tabela a seguir resume a disponibilidade de GitHub Secret Protection recursos para repositórios públicos e privados.
| Repositório público Sem GitHub Secret Protection | Repositório privado Sem GitHub Secret Protection | Repositório público ou privado com GitHub Secret Protection | |
|---|---|---|---|
| Verificação de segredo | |||
| Proteção por push | |||
| Copilot verificação secreta | |||
| Padrões personalizados | |||
| Bypass delegado para proteção de push | |||
| Campanhas de segurança | |||
| Visão geral da segurança |
Para obter mais informações sobre recursos individuais, confira GitHub recursos de segurança.
Executar uma avaliação gratuita de risco de segurança
<a href="https://github.com/get_started?with=risk-assessment&ref_product=code-scanning&ref_type=engagement&ref_style=button" target="_blank" class="btn btn-primary mt-3 mr-3 no-underline">
<span>Introdução às avaliações de risco de segurança</span><svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-link-external" aria-label="link external icon" role="img"><path d="M3.75 2h3.5a.75.75 0 0 1 0 1.5h-3.5a.25.25 0 0 0-.25.25v8.5c0 .138.112.25.25.25h8.5a.25.25 0 0 0 .25-.25v-3.5a.75.75 0 0 1 1.5 0v3.5A1.75 1.75 0 0 1 12.25 14h-8.5A1.75 1.75 0 0 1 2 12.25v-8.5C2 2.784 2.784 2 3.75 2Zm6.854-1h4.146a.25.25 0 0 1 .25.25v4.146a.25.25 0 0 1-.427.177L13.03 4.03 9.28 7.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.75-3.75-1.543-1.543A.25.25 0 0 1 10.604 1Z"></path></svg></a>
As organizações em GitHub Team e GitHub Enterprise podem realizar avaliações gratuitas de risco de segurança para entender sua exposição a vulnerabilidades de segurança.
-
**Vazamentos de segredo**: verifique se sua organização tem segredos vazados e veja quantos podem ter sido evitados por GitHub Secret Protection. Confira [AUTOTITLE](/code-security/concepts/secret-security/about-secret-security-with-github#secret-risk-assessment). -
**Vulnerabilidades de código**: examine até 20 dos repositórios mais ativos e veja quantas vulnerabilidades podem ser corrigidas Copilot Autofix automaticamente se você habilitar GitHub Code Security. Confira [AUTOTITLE](/code-security/concepts/code-scanning/code-security-risk-assessment).
Implantando GitHub Code Security e GitHub Secret Protection
Para saber mais sobre como planejar sua implantação de GitHub Code Security e GitHub Secret Protection de forma abrangente e examinar as fases de implementação que recomendamos, consulte Adotando o GitHub Advanced Security em escala.
Habilitando recursos
Você pode habilitar rapidamente os recursos de segurança em escala com um security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar os recursos do Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.
Se você estiver em um plano GitHub Team ou GitHub Enterprise, o uso de licença para todo o time ou empresa será mostrado na página de licença. Consulte Como exibir o uso de licenças e produtos mensuráveis.
Gerenciando GitHub Advanced Security
Os proprietários empresariais podem gerenciar GitHub Advanced Security o licenciamento e o acesso para sua empresa, incluindo desabilitar GitHub Advanced Security todos os repositórios e impedir a reabilitação futura. Confira Gerenciando licenças de volume para GitHub Advanced Security.
Para obter informações sobre como gerenciar sua GitHub Advanced Security licença, consulte Gerenciando o uso pago do Advanced Security.
Sobre GitHub Advanced Security a certificação
Você pode realçar seu conhecimento ganhando um GitHub Advanced Security certificado com GitHub Certifications. A certificação valida sua experiência em identificação de vulnerabilidades, segurança de fluxos de trabalho e implementação de segurança robusta. Confira Sobre GitHub Certifications.
Sobre GitHub Advanced Security com Azure Repos
Se você quiser usar GitHub Advanced Security com Azure Repos, consulte GitHub Advanced Security & Azure DevOps no nosso site de recursos. Para obter documentação, consulte Configure GitHub Advanced Security for Azure DevOps no Microsoft Learn.
Leitura adicional
-
[AUTOTITLE](/code-security/getting-started/github-security-features) -
[ GitHub roteiro público](https://github.com/github/roadmap)