Gerenciar o acesso à Segurança Avançada do GitHub
Na unidade anterior, você aprendeu a habilitar a Segurança Avançada do GitHub de acordo com seu plano empresarial.
Esta unidade explica como configurar a Segurança Avançada do GitHub para um projeto. Ele explica como gerenciar o acesso a alertas de segurança e configurar políticas de segurança no nível da organização e do repositório.
Gerenciar o acesso a alertas de segurança
Ao configurar a Segurança Avançada do GitHub para um projeto, você deseja garantir que as pessoas certas em sua organização possam exibir e resolver quaisquer alertas. As funções e permissões necessárias para exibir esses alertas dependem do tipo de alerta.
Esta tabela mostra as funções mínimas e as permissões necessárias para exibir cada tipo de alerta na guia Segurança do repositório:
| Tipo de alerta de segurança | Funções e permissões necessárias |
|---|---|
| Alertas de verificação de código | Permissão de gravação no repositório |
| Alertas de verificação de segredos | Administradores de repositório e proprietários da organização |
| Alertas do Dependabot | Administradores de repositório e proprietários da organização |
Além disso, os administradores do repositório e os proprietários da organização podem conceder acesso à verificação de segredos e aos alertas do Dependabot para usuários e equipes com permissão de gravação em seus repositórios, a partir das configurações de Segurança e Análise do repositório.
Com o conjunto certo de funções e permissões, os desenvolvedores envolvidos no fluxo de trabalho de segurança podem executar as seguintes ações:
- Para alertas de verificação de código: confirmar correções no código, ignorar alertas que não exigem nenhuma ação ou excluir alertas para limpar os resultados da verificação de código.
- Para alertas secretos de verificação: exclua segredos detectados, crie novos tokens e atualize o código que usa os segredos detectados ou ignore alertas que não exigem nenhuma ação.
- Para alertas do Dependabot: atualize dependências vulneráveis ou ignore alertas que não exigem nenhuma ação.
Definir uma política de segurança no nível da organização
Uma boa maneira de garantir que todos em sua organização estejam usando o GitHub Advanced Security é configurar uma política de segurança no nível da organização. Por exemplo, você pode definir uma política que permite que todos os administradores de repositório em sua organização habilitem recursos de Segurança Avançada para seus repositórios.
As políticas podem ser configuradas para todas as organizações pertencentes à sua conta corporativa ou para organizações individuais que você escolher.
Siga estas etapas para configurar uma política de segurança no nível da organização:
Na barra lateral da empresa, navegue até Políticas > Advanced Security.
Em GitHub Advanced Security, selecione o menu suspenso e escolha uma política para as organizações pertencentes à sua empresa.
Opcionalmente, se você escolher Permitir para as organizações selecionadas à direita de uma organização, selecione o menu suspenso para permitir ou não o Advanced Security para a organização. Não permitir a Segurança Avançada para uma organização impede que os administradores de repositório habilitem recursos de Segurança Avançada para outros repositórios, mas não desabilita os recursos para repositórios em que os recursos já estão habilitados.
Observação
Tenha em mente que o GitHub cobra pela Segurança Avançada com base no número de colaboradores ao configurar uma política no nível da organização.
Definir uma política de segurança no nível do repositório
Igualmente importante ao configurar um projeto do GitHub é documentar como relatar vulnerabilidades de segurança para o projeto. Para fazer isso, você pode adicionar um arquivo SECURITY.md à pasta raiz, docs, ou às pastas .github do repositório do projeto. Em seguida, quando alguém cria um problema em um repositório, ele vê um link para a política de segurança do projeto.
Depois que alguém relatar uma vulnerabilidade de segurança em seu projeto, você poderá usar os Avisos de Segurança do GitHub para divulgar, corrigir e publicar informações sobre a vulnerabilidade.
Siga estas etapas para configurar uma política de segurança no nível do repositório:
- Em seu repositório, navegue até Segurança > Política de segurança.
- Selecione Iniciar configuração.
- No novo arquivo
SECURITY.md, adicione informações sobre as versões com suporte do projeto e como relatar uma vulnerabilidade. - Faça commit da alteração no repositório.