Como impor políticas para segurança e análise de código na empresa

Você pode impor políticas para gerenciar o uso de recursos de segurança e análise de código nas organizações da sua empresa.

Quem pode usar esse recurso?

Enterprise owners

GitHub Code Security e GitHub Secret Protection estão disponíveis para contas em GitHub Team e GitHub Enterprise Cloud

Alguns recursos também estão disponíveis gratuitamente para repositórios públicos.GitHub.com Para obter mais informações, consulte Planos do GitHub.

Para obter informações sobre o GitHub Advanced Security for Azure DevOps, veja Configurar o GitHub Advanced Security for Azure DevOps no Microsoft Learn.

Neste artigo

Sobre políticas para o uso de recursos de segurança em sua empresa

Você pode impor políticas para gerenciar o uso de recursos de segurança em organizações pertencentes à sua empresa. Você pode permitir ou não permitir que pessoas com acesso de administrador a um repositório habilitem ou desabilitem os recursos de segurança e análise.

Além disso, você pode aplicar políticas para o uso de GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (prévia pública), or GitHub Advanced Security nas organizações e nos repositórios da sua empresa.

Aplicar uma política para a disponibilidade de Advanced Security nas organizações da sua empresa

Você é cobrado por GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security produtos por confirmação. Confira GitHub Advanced Security cobrança de licença.

Você pode impor uma política que controla se os administradores de repositório têm permissão para habilitar recursos nos Advanced Security repositórios de uma organização. É possível configurar uma política para todas as organizações pertencentes à conta corporativa ou para organizações individuais escolhidas.

A não permissão GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (prévia pública), or GitHub Advanced Security para uma organização impede que os administradores de repositório habilitem esses recursos para repositórios adicionais, mas não desabilitam os recursos para repositórios em que os recursos já estão habilitados.

Observação

Essa política afeta apenas os administradores do repositório. Os proprietários da organização e os gerentes de segurança sempre podem habilitar os recursos de segurança, independentemente de como você define essa política. Para saber mais, confira Funções em uma organização.

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.

  2. Na parte superior da página, clique em Políticas.

  3. Em "Policies", clique em Advanced Security Code security.

  4. Na guia "Políticas" da página "Advanced Security", selecione o menu suspenso e clique em uma política para as organizações pertencentes à sua empresa.

  5. Opcionalmente, se você escolheu Permitir para organizações selecionadas, ao lado de uma organização, selecione o menu suspenso para definir quais produtos Advanced Security estão disponíveis para a organização.

    Captura de tela do menu suspenso para escolher uma política de Advanced Security para organizações selecionadas na empresa. O menu suspenso tem contorno.

Observação

Se GitHub Actions não estiver disponível para uma organização, code scanning e GitHub Code Quality não poderão ser executados, mesmo que sejam disponibilizados por meio desta política. Confira Impor políticas para GitHub Actions em sua empresa.

Aplicando uma política para visibilidade dos insights sobre dependências

Os insights de dependência mostram todos os projetos de código aberto dos quais dependem os repositórios em organizações da sua empresa. Os insights de dependência incluem informações agregadas sobre consultorias de segurança e licenças. Para saber mais, confira Visualização de insights sobre dependências em sua organização.

Em todas as organizações pertencentes à sua empresa, é possível controlar se os integrantes da organização podem ver os insights de dependência. Você também pode permitir que proprietários administrem a configuração no nível da organização. Para saber mais, confira Alterar a visibilidade de informações de dependência da organização.

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.

  2. Na parte superior da página, clique em Políticas.

  3. Em "Policies", clique em Advanced Security Code security.

  4. Na seção "Policies", em "Dependency insights", verifique as informações sobre como alterar a configuração.

  5. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em View your organizations' current configurations.

    Captura de tela de uma política nas configurações da empresa. Um link, rotulado como "View your organizations' current configurations", está contornado.

  6. Em "Insights de dependência", selecione o menu suspenso e clique em uma política.

Aplicar uma política para gerenciar o uso de Dependabot alerts em sua empresa

Em todas as organizações pertencentes à sua empresa, você pode permitir que membros com permissões de administrador para repositórios habilitem ou desabilitem Dependabot alerts e alterem Dependabot alerts as configurações.

Observação

Essa política afeta apenas os administradores do repositório. Os proprietários da organização e os gerentes de segurança sempre podem habilitar os recursos de segurança, independentemente de como você define essa política. Para saber mais, confira Funções em uma organização.

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
  2. Na parte superior da página, clique em Políticas.
  3. Em "Policies", clique em Advanced Security Code security.
  4. Na seção "Políticas", em "Habilitar ou desabilitar Dependabot alerts por administradores de repositório", use o menu suspenso para escolher uma política.

Aplicar uma política para gerenciar o uso dos recursos Advanced Security nos repositórios da empresa

Em todas as organizações da sua empresa, você pode permitir ou desabilitar pessoas com acesso de administrador a repositórios para gerenciar o uso de Advanced Security recursos nos repositórios.

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
  2. Na parte superior da página, clique em Políticas.
  3. Em "Policies", clique em Advanced Security Code security.
  4. Na seção "Políticas", em "Administradores de repositório podem habilitar ou desabilitar PRODUCT", use o menu suspenso para definir se os administradores do repositório podem alterar a ativação de GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (prévia pública), or GitHub Advanced Security.

Impor uma política para gerenciar o uso da detecção de IA nos secret scanning repositórios da sua empresa

Em todas as organizações da sua empresa, você pode permitir ou impedir que pessoas com acesso administrativo aos repositórios gerenciem e configurem a detecção de IA em secret scanning nos repositórios. Essa política só entrará em vigor se os administradores do repositório também tiverem permissão para alterar a habilitação Secret Protection (controlada pela política "Os administradores do repositório podem habilitar ou desabilitar a Proteção Secreta").

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
  2. Na parte superior da página, clique em Políticas.
  3. Em "Policies", clique em Advanced Security Code security.
  4. Na seção "Políticas", em "Detecção de IA em secret scanning", selecione o menu suspenso e clique em uma política.

Aplicar uma política para gerenciar o uso de Autofixo do Copilot nos repositórios da sua empresa

Em todas as organizações da sua empresa, você pode permitir ou desabilitar pessoas com acesso de administrador a repositórios para gerenciar onde Autofixo do Copilot está habilitado para Code Security resultados. GitHub Code Security deve estar habilitado para a organização para que esta política entre em vigor.

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
  2. Na parte superior da página, clique em Políticas.
  3. Em "Policies", clique em Advanced Security Code security.
  4. Na seção "Políticas", em "Autofixo do Copilot", abra o menu suspenso e clique em uma política.

Observação

Esta política controla o uso de Autofixo do Copilot apenas nos resultados encontrados por consultas de segurança do code scanning. Autofixo do Copilot é parte integrante de GitHub Code Quality e não pode ser desativado para esse recurso.