Enterprise Server 3.21 está disponível no momento como versão candidata a lançamento.

Configurações de segurança globais para sua organização

Personalize Advanced Security os recursos para sua organização definindo configurações globais que garantem padrões de segurança consistentes e protejam todos os seus repositórios.

Quem pode usar esse recurso?

Proprietários da organização, gerentes de segurança e membros da organização com a função de administrador

Neste artigo

Acessando a página global settings da sua organização

  1. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

  2. No nome da organização, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na seção "Segurança" da barra lateral, selecione o Advanced Security menu suspenso e clique no Global settings.

Configurando configurações globais Dependabot

Você pode personalizar vários itens global settings para Dependabot:

Criando e gerenciando Regras de triagem automática do Dependabot

Você pode criar e gerenciar Regras de triagem automática do Dependabot para instruir Dependabot a ignorar ou adiar Dependabot alerts automaticamente, e até mesmo abrir pull requests para tentar resolvê-los. Para configurar Regras de triagem automática do Dependabot, clique e, em seguida, crie ou edite uma regra:

  • Você pode criar uma nova regra clicando em Nova regra e então inserindo os detalhes da regra e clicando em Criar regra.
  • Você pode editar uma regra existente clicando , fazendo as alterações desejadas e clicando em Salvar regra.

Para obter mais informações sobre Regras de triagem automática do Dependabot, consulte Sobre as regras de triagem automática do Dependabot e Personalizando regras de triagem automática para priorizar alertas do Dependabot.

Agrupamento Dependabot security updates

          Dependabot pode agrupar todas as atualizações de segurança sugeridas automaticamente em uma única solicitação de pull. Para habilitar atualizações de segurança agrupadas, selecione **Atualizações de segurança agrupadas**. Para obter mais informações sobre atualizações agrupadas e opções de personalização, consulte [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request).

Configurando o tipo de executor para Dependabot

Você pode configurar qual tipo de executor Dependabot usa para verificar se há atualizações de versão e segurança. Por padrão, Dependabot usa executores hospedados por GitHub padrão. Você pode configurar Dependabot para usar executores auto-hospedados com rótulos personalizados, o que permite a integração com a infraestrutura de executor existente, como o Actions Runner Controller (ARC).

Observação

  • Por motivos de segurança, Dependabot usa executores hospedados por GitHub para repositórios públicos, mesmo ao configurar executores rotulados.
  • Os executores rotulados não funcionam para repositórios públicos.

Para configurar o tipo de executor:

  1. Em "Dependabot", ao lado de "Tipo de executor", selecione .
  2. Na caixa de diálogo "Editar tipo de executor para Dependabot", selecione o tipo de executor que você deseja Dependabot usar: 
    •           **Executor do GitHub padrão**.

    •           **Executor rotulado**: se você selecionar essa opção, Dependabot usará executores auto-hospedados que correspondem ao rótulo que você especificar.
  3. Se você selecionou Executor com rótulo:
    • Em "Rótulo do executor", insira o rótulo atribuído aos seus executores auto-hospedados. Dependabot usará executores com este rótulo. Por padrão, o dependabot rótulo é usado, mas você pode especificar um rótulo personalizado para corresponder à sua infraestrutura de executor existente.
    • Opcionalmente, em "Nome do grupo de runners", insira o nome de um grupo de runners se você quiser direcionar um grupo específico de runners.
  4. Clique em Salvar seleção do executor.

Concedendo Dependabot acesso a repositórios privados e internos

Para atualizar as dependências privadas de repositórios em sua organização, Dependabot precisa de acesso a esses repositórios. Para conceder Dependabot acesso ao repositório privado ou interno desejado, role para baixo até a seção "Conceder Dependabot acesso a repositórios privados" e use a barra de pesquisa para localizar e selecionar o repositório desejado. Lembre-se de que conceder Dependabot acesso a um repositório significa que todos os usuários em sua organização terão acesso ao conteúdo desse repositório por meio Dependabot updates. Para saber mais sobre os ecossistemas com suporte para repositórios privados, consulte Ecossistemas e repositórios compatíveis com o Dependabot.

Configurando configurações globais code scanning

A Code scanning é um recurso que você usa para analisar o código em um repositório GitHub para encontrar vulnerabilidades de segurança e erros de codificação. Os problemas que forem identificados pela análise serão mostrados em seu repositório.

Você pode recomendar que os repositórios em sua organização usem o conjunto de consultas "Estendido" em vez do conjunto de consultas "Padrão" para uma cobertura mais code scanning ampla em toda a sua organização. Consulte Recomendando o pacote de consultas estendidas para configuração padrão.

Recomendando o conjunto de consultas estendido para a configuração padrão

          Code scanning oferece grupos específicos de consultas do CodeQL, chamados de conjuntos de consultas do CodeQL, para serem executados em seu código. Por padrão, o conjunto de consultas "Padrão" é executado. 
          GitHub também oferece o conjunto de consultas "Estendido", que contém todas as consultas no conjunto de consultas "Padrão", além de consultas adicionais com menor precisão e gravidade. Para sugerir o conjunto de consultas "Estendido" em toda a sua organização, selecione **Recomendar o conjunto de consultas estendido para repositórios que habilitam a configuração padrão**. Para obter mais informações sobre os conjuntos de consultas integrados para a configuração padrão do CodeQL, consulte [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites).

Expansão da análise do CodeQL

Você pode expandir a cobertura de análise do CodeQL para todos os repositórios em sua organização que usam a configuração padrão definindo pacotes de modelos do CodeQL. Os pacotes de modelos estendem a CodeQL análise para reconhecer estruturas e bibliotecas adicionais que não estão incluídas nas bibliotecas padrão CodeQL . Essa configuração global se aplica a repositórios usando a configuração padrão e permite que você especifique pacotes de modelos publicados por meio do registro de contêiner. Para saber mais, confira Editar as definições da configuração padrão.

Configurando configurações globais secret scanning

Secret scanning é uma ferramenta de segurança que verifica todo o histórico de repositórios do Git, bem como problemas, pull requests, discussões e wikis nesses repositórios, para detectar segredos vazados que foram acidentalmente comprometidos, como tokens ou chaves privadas.

Você pode personalizar vários global settings para secret scanning:

Para fornecer contexto para desenvolvedores quando secret scanning bloqueia uma confirmação, você pode exibir um link com mais informações sobre por que a confirmação foi bloqueada. Para incluir um link, selecione Adicionar um link de recurso na CLI e na interface do usuário Web quando uma confirmação for bloqueada. Na caixa de texto, digite o link para o recurso desejado e clique em Salvar Link.

Definição de padrões personalizados

Você pode definir padrões personalizados para secret scanning com expressões regulares. Padrões personalizados podem identificar segredos que não são detectados pelos padrões predefinidos suportados por secret scanning. Para criar um padrão personalizado, clique em Novo padrão, insira os detalhes do padrão e clique em Salvar e executar a seco. Para obter mais informações sobre padrões personalizados, consulte Definir padrões personalizados para a verificação de segredo.

Como especificar padrões a serem incluídos na proteção por push

Observação

A configuração de padrões para proteção por push no nível da empresa e da organização está em prévia pública e está sujeita a alterações.

Você pode personalizar quais padrões secretos estão incluídos na proteção por push, dando às equipes de segurança maior controle sobre quais tipos de segredos são bloqueados nos repositórios em sua organização.

  1. Em "Configurações adicionais", na seção "Secret scanning" e à direita de "Configurações de padrão", clique em .
  2. Na página exibida, faça as alterações desejadas na coluna "Organization setting".

Você pode habilitar ou desabilitar a proteção por push para padrões individuais usando a alternância na coluna relevante: "Enterprise setting" no nível da empresa e "Organization setting" no nível da organização.

Os dados são limitados ao escopo, portanto, o volume de alerta, falsos positivos, taxa de bypass ou disponibilidade de padrões personalizados refletem a atividade de alerta/usuário na empresa ou na organização.

O padrão do GitHub pode mudar ao longo do tempo à medida que aumentamos a precisão e promovemos padrões.

Observação

Os administradores da organização e as equipes de segurança podem substituir as configurações definidas no nível da empresa.

Para mais informações sobre como ler dados na página de configuração padrão de secret scanning, consulte Dados de configuração do padrão de verificação secreta.

Criação de gerentes de segurança para sua organização

A função de gerente de segurança concede aos membros da sua organização a capacidade de gerenciar configurações de segurança e alertas em toda a organização. Os gerentes de segurança podem exibir dados de todos os repositórios em sua organização por meio de uma visão geral de segurança.

Para saber mais sobre a função de gerente de segurança, consulte Gerenciando os gerentes de segurança da sua organização.

Para atribuir a função de gerente de segurança, consulte Usando funções de organização.