Configurações de segurança globais para sua organização

Personalize Advanced Security os recursos para sua organização definindo configurações globais que garantem padrões de segurança consistentes e protejam todos os seus repositórios.

Quem pode usar esse recurso?

Proprietários da organização, gerentes de segurança e membros da organização com a função de administrador

Neste artigo

Acessando a global settings página da sua organização

  1. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

  2. No nome da organização, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na seção "Segurança" da barra lateral, selecione o Advanced Security menu suspenso e clique no Global settings.

Configurando configurações globais Dependabot

Você pode personalizar vários global settings para Dependabot:

Criando e gerenciando Regras de triagem automática do Dependabot

Você pode criar e gerenciar Regras de triagem automática do Dependabot para instruir Dependabot a ignorar ou coorar Dependabot alertsautomaticamente e até mesmo abrir solicitações de pull para tentar resolvê-las. Para configurar Regras de triagem automática do Dependabot, clique e, em seguida, crie ou edite uma regra:

  • Você pode criar uma nova regra clicando em Nova regra e então inserindo os detalhes da regra e clicando em Criar regra.
  • Você pode editar uma regra existente clicando , fazendo as alterações desejadas e clicando em Salvar regra.

Para obter mais informações sobre Regras de triagem automática do Dependabot, consulte Sobre as regras de triagem automática do Dependabot e Personalizando regras de triagem automática para priorizar alertas do Dependabot.

Agrupamento Dependabot security updates

          Dependabot pode agrupar todas as atualizações de segurança sugeridas automaticamente em uma única solicitação de pull. Para habilitar atualizações de segurança agrupadas, selecione **Atualizações de segurança agrupadas**. Para obter mais informações sobre atualizações agrupadas e opções de personalização, consulte [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request).

Habilitar atualizações de dependência em GitHub Actions executores

Se ambos Dependabot e GitHub Actions estiverem habilitados para repositórios existentes em sua organização, GitHub usará GitHubautomaticamente executores hospedados para executar atualizações de dependência para esses repositórios.

Caso contrário, para permitir que os executores executem DependabotGitHub Actions atualizações de dependência para todos os repositórios existentes na organização, selecione "Dependabot em Executores de ações".

Para saber mais, confira Sobre o Dependabot em executores do GitHub Actions.

Configurando o tipo de executor para Dependabot

Você pode configurar qual tipo de executor Dependabot usa para verificar se há atualizações de versão e segurança. Por padrão, Dependabot usa corredores hospedados padrãoGitHub. Você pode configurar para usar executores auto-hospedados com rótulos personalizados, o que permite que você se integre Dependabot à infraestrutura existente do executor, como Actions Runner Controller (ARC).

Observação

  • Por motivos de segurança, Dependabot usa executores hospedados GitHubpara repositórios públicos, mesmo quando você configura executores rotulados.
  • Os executores rotulados não funcionam para repositórios públicos.

Para configurar o tipo de executor:

  1. Em "Dependabot", ao lado de "Tipo de executor", selecione .
  2. Na caixa de diálogo "Editar tipo de executor para Dependabot", selecione o tipo de executor que você deseja Dependabot usar:
    • Executor padrãoGitHub.
    • Executor rotulado: se você selecionar essa opção, Dependabot usará executores auto-hospedados que correspondem ao rótulo especificado.
  3. Se você selecionou Executor com rótulo:
    • Em "Rótulo do executor", insira o rótulo atribuído aos seus executores auto-hospedados. Dependabot usará executores com este rótulo. Por padrão, o dependabot rótulo é usado, mas você pode especificar um rótulo personalizado para corresponder à sua infraestrutura de executor existente.
    • Opcionalmente, em "Nome do grupo de runners", insira o nome de um grupo de runners se você quiser direcionar um grupo específico de runners.
  4. Clique em Salvar seleção do executor.

Para obter mais informações sobre como configurar corredores auto-hospedados, Dependabotconsulte Configurar o Dependabot em executores auto-hospedados.

Concedendo Dependabot acesso a repositórios privados e internos

Para atualizar as dependências privadas de repositórios em sua organização, Dependabot precisa de acesso a esses repositórios. Para conceder Dependabot acesso ao repositório privado ou interno desejado, role para baixo até a seção "Conceder Dependabot acesso a repositórios privados" e use a barra de pesquisa para localizar e selecionar o repositório desejado. Lembre-se de que conceder Dependabot acesso a um repositório significa que todos os usuários em sua organização terão acesso ao conteúdo desse repositório por meio Dependabot updates. Para saber mais sobre os ecossistemas com suporte para repositórios privados, consulte Ecossistemas e repositórios compatíveis com o Dependabot.

Configurando configurações globais code scanning

A Code scanning é um recurso que você usa para analisar o código em um repositório GitHub para encontrar vulnerabilidades de segurança e erros de codificação. Os problemas que forem identificados pela análise serão mostrados em seu repositório.

Você pode personalizar vários global settings para code scanning:

          * [Habilitando Autofixo do Copilot para CodeQL](#enabling-copilot-autofix-for-codeql)

Recomendando o conjunto de consultas estendido para a configuração padrão

          Code scanning oferece grupos específicos de CodeQL consultas, chamados CodeQL de conjuntos de consultas, para serem executados em seu código. Por padrão, o conjunto de consultas "Padrão" é executado. 
          GitHub também oferece o conjunto de consultas "Estendido", que contém todas as consultas no conjunto de consultas "Padrão", além de consultas adicionais com menor precisão e gravidade. Para sugerir o conjunto de consultas "Estendido" em toda a sua organização, selecione **Recomendar o conjunto de consultas estendido para repositórios que habilitam a configuração padrão**. Para obter mais informações sobre conjuntos de consultas internos para CodeQL configuração padrão, consulte [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites).

Habilitando Autofixo do Copilot para CodeQL

Você pode selecionar Autofixo do Copilot para habilitar Autofixo do Copilot todos os repositórios em sua organização que usam CodeQL configuração padrão ou CodeQL configuração avançada. Autofixo do Copilot é uma expansão que code scanning sugere correções para code scanning alertas. Para saber mais, confira Uso responsável do Copilot Autofix para escaneamento de código.

Expansão da CodeQL análise

Você pode expandir CodeQL a cobertura de análise para todos os repositórios em sua organização que usam a configuração padrão configurando CodeQL pacotes de modelos. Os pacotes de modelos estendem a CodeQL análise para reconhecer estruturas e bibliotecas adicionais que não estão incluídas nas bibliotecas padrão CodeQL . Essa configuração global se aplica a repositórios usando a configuração padrão e permite que você especifique pacotes de modelos publicados por meio do registro de contêiner. Para saber mais, confira Editar as definições da configuração padrão.

Configurando configurações globais secret scanning

Secret scanning é uma ferramenta de segurança que verifica todo o histórico de repositórios do Git, bem como problemas, pull requests, discussões e wikis nesses repositórios, para detectar segredos vazados que foram acidentalmente comprometidos, como tokens ou chaves privadas.

Você pode personalizar vários global settings para secret scanning:

Para fornecer contexto para desenvolvedores quando secret scanning bloqueia uma confirmação, você pode exibir um link com mais informações sobre por que a confirmação foi bloqueada. Para incluir um link, selecione Adicionar um link de recurso na CLI e na interface do usuário Web quando uma confirmação for bloqueada. Na caixa de texto, digite o link para o recurso desejado e clique em Salvar Link.

Definição de padrões personalizados

Você pode definir padrões personalizados para secret scanning expressões regulares. Padrões personalizados podem identificar segredos que não são detectados pelos padrões padrão com suporte.secret scanning Para criar um padrão personalizado, clique em Novo padrão, insira os detalhes do padrão e clique em Salvar e executar a seco. Para obter mais informações sobre padrões personalizados, consulte Definir padrões personalizados para a verificação de segredo.

Como especificar padrões a serem incluídos na proteção por push

Observação

A configuração de padrões para proteção por push no nível da empresa e da organização está em versão prévia pública e está sujeita a alterações.

Você pode personalizar quais padrões secretos estão incluídos na proteção por push, dando às equipes de segurança maior controle sobre quais tipos de segredos são bloqueados nos repositórios em sua organização.

  1. Em "Configurações adicionais", na seção "Secret scanning" e à direita de "Configurações de padrão", clique em .
  2. Na página exibida, faça as alterações desejadas na coluna "Organization setting".

Você pode habilitar ou desabilitar a proteção por push para padrões individuais usando a alternância na coluna relevante: "Enterprise setting" no nível da empresa e "Organization setting" no nível da organização.

Os dados são limitados ao escopo, portanto, o volume de alerta, falsos positivos, taxa de bypass ou disponibilidade de padrões personalizados refletem a atividade de alerta/usuário na empresa ou na organização.

O padrão do GitHub pode mudar ao longo do tempo à medida que aumentamos a precisão e promovemos padrões.

Observação

Os administradores da organização e as equipes de segurança podem substituir as configurações definidas no nível da empresa.

Para obter mais informações sobre como ler dados na página de configuração de secret scanning padrão, consulte Dados de configuração do padrão de verificação secreta.

Criação de gerentes de segurança para sua organização

A função de gerente de segurança concede aos membros da sua organização a capacidade de gerenciar configurações de segurança e alertas em toda a organização. Os gerentes de segurança podem exibir dados de todos os repositórios em sua organização por meio de uma visão geral de segurança.

Para saber mais sobre a função de gerente de segurança, consulte Gerenciando os gerentes de segurança da sua organização.

Para atribuir a função de gerente de segurança, consulte Usando funções de organização.