Sobre este guia
Como proprietário da organização, evitar a exposição de dados privados ou confidenciais deve ser uma prioridade máxima. Sejam intencionais ou acidentais, os vazamentos de dados podem causar um risco significativo para as partes envolvidas. Embora GitHub execute medidas para ajudar a protegê-lo contra vazamentos de dados, você também é responsável por administrar sua organização para proteger a segurança.
Há vários componentes importantes quando se trata de se defender contra os vazamentos de dados:
- Adoção de uma abordagem proativa em relação à prevenção
- Detecção antecipada de possíveis vazamentos
- Manutenção de um plano de mitigação quando ocorre um incidente
A melhor abordagem dependerá do tipo de organização que você está gerenciando. Por exemplo, uma organização que se concentra no desenvolvimento de código aberto pode exigir controles mais flexíveis do que uma organização totalmente comercial, a fim de permitir a colaboração externa. Este artigo fornece diretrizes de alto nível sobre os GitHub recursos e configurações a serem considerados, que você deve implementar de acordo com suas necessidades.
Proteger as contas
Proteja os repositórios e as configurações de sua organização implementando melhores práticas de segurança, incluindo habilitação da 2FA e exigência de que todos os membros adotem a verificação, além de estabelecer diretrizes de senha fortes.
-
Exigir que membros da organização, colaboradores externos e gerentes de cobrança habilitem a 2FA para suas contas pessoais, tornando mais difícil para os atores mal-intencionados acessarem os repositórios e as configurações de uma organização. Para saber mais, confira Exigindo a autenticação de dois fatores na sua organização.
-
Incentivando seus usuários a criar senhas fortes e protegê-las adequadamente seguindo GitHubas diretrizes de senha recomendadas. Para obter mais informações, consulte Criar uma senha forte.
-
Estabelecendo uma política de segurança interna em GitHub, para que os usuários saibam as etapas apropriadas a serem tomadas e quem contatar se houver suspeita de um incidente. Para saber mais, confira Adicionar uma política de segurança a um repositório.
Para obter informações mais detalhadas sobre como proteger contas, consulte Melhores práticas para proteger contas.
Evitar vazamentos de dados
Como proprietário da organização, você deve limitar e revisar o acesso conforme apropriado para o tipo da sua organização. Considere as seguintes configurações para um controle mais rígido:
| Recomendação | Mais informações |
|---|---|
| Desabilite a capacidade de criar fork de repositórios. |
[AUTOTITLE](/repositories/managing-your-repositorys-settings-and-features/managing-repository-settings/managing-the-forking-policy-for-your-repository)
Desabilite a alteração da visibilidade do repositório. |
Restringir as alterações de visibilidade de repositório na organização
Restrinja a criação do repositório a privado ou interno. |
Restringir a criação de repositórios na organização
Desabilite a exclusão e a transferência do repositório. |
Definir permissões para excluir ou transferir repositórios
| |
Desative a possibilidade de usar chaves de implantação. |
Restringindo chaves de implantação em sua organização
| |
Restrinja os escopos personal access tokenàs permissões mínimas necessárias. | None
Proteja seu código convertendo repositórios públicos em privados sempre que apropriado. Você pode alertar os proprietários do repositório sobre essa alteração automaticamente usando um GitHub App. |
Prevent-Public-Repos em GitHub Marketplace
Confirme a identidade da sua organização verificando o domínio e restringindo as notificações por email somente aos domínios de email verificados. |
Verificar ou aprovar um domínio para sua organização e Restringir notificações de e-mail para sua organização
Impeça que os colaboradores façam commits acidentais. |
Remover dados confidenciais de um repositório
Detectar vazamentos de dados
Não importa o quão bem você reforce sua organização para evitar vazamentos de dados, alguns ainda podem ocorrer, e você pode responder usando secret scanning, o log de auditoria e as regras de proteção de ramo.
Utilize secret scanning
Secret scanning ajuda a proteger o código e manter os segredos seguros entre organizações e seus repositórios, verificando e detectando segredos que foram acidentalmente comprometidos ao longo do histórico completo do Git de cada branch nos repositórios de GitHub. Todas as cadeias de caracteres que correspondem aos padrões fornecidos por parceiros definidas por você ou sua organização, são relatadas como alertas na guia **Segurança** dos repositórios.
O administrador do site deve habilitar secret scanning sua instância para que você possa usar esse recurso. Para obter mais informações, consulte [AUTOTITLE](/admin/code-security/managing-github-advanced-security-for-your-enterprise/configuring-secret-scanning-for-your-appliance).
Para obter mais informações sobre secret scanning, confira Sobre a verificação de segredo.
Você também pode habilitar a secret scanning como uma proteção por push para um repositório ou uma organização. Quando você habilita esse recurso, a secret scanning impede que os colaboradores efetuem push de um código com um segredo detectado. Para obter mais informações, consulte [AUTOTITLE](/code-security/secret-scanning/protecting-pushes-with-secret-scanning). Por fim, você também pode estender a detecção para incluir estruturas de cadeias de caracteres de segredos personalizados. Para saber mais, confira [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/custom-patterns/defining-custom-patterns-for-secret-scanning).
Revisar o log de auditoria da sua organização
Você também pode proteger proativamente o IP e manter a conformidade para sua organização aproveitando o log de auditoria da sua organização, acompanhado da API de Log de Auditoria do GraphQL. Para saber mais, confira Revisar o log de auditoria da organização e Interfaces.
Configurar regras de proteção de branch
Para garantir que todo o código seja revisado corretamente antes de ser mesclado no branch padrão, você pode habilitar a proteção de branch. Ao definir regras de proteção de branch, você pode impor determinados fluxos de trabalho ou requisitos antes que um colaborador possa efetuar push de alterações. Para saber mais, confira Sobre branches protegidos.
Como alternativa às regras de proteção de branch, você pode criar conjuntos de regras. Os conjuntos de regras têm algumas vantagens em relação às regras de proteção de branches, como status, e melhor capacidade de detecção sem exigir acesso de administrador. Você também pode aplicar vários conjuntos de regras ao mesmo tempo. Para saber mais, confira Sobre os conjuntos de regras.
Atenuar os vazamentos de dados
Se um usuário realizar o envio de dados, peça para removê-los usando a ferramenta git filter-repo. Para saber mais, confira Remover dados confidenciais de um repositório. Além disso, se os dados confidenciais ainda não tiverem sido enviados por push, você poderá simplesmente desfazer essas alterações localmente; para obter mais informações, consulte the GitHub Blog (mas observe que git revert não é uma maneira válida de desfazer a adição de dados confidenciais, pois ele deixa a confirmação confidencial original no histórico do Git).
Se você não conseguir coordenar diretamente com o proprietário do repositório para remover os dados que você tem certeza de que são seus, preencha um formulário de aviso de remoção do DMCA e informe isso ao Suporte do GitHub. Certifique-se de incluir os hashes dos commits problemáticos. Para obter mais informações, confira Aviso de remoção do DMCA.
Observação
Se um dos seus repositórios foi removido devido a uma alegação falsa, você deve preencher um formulário de contranotificação DMCA e alertar o Suporte do GitHub. Para obter mais informações, confira Contra-aviso do DMCA.
Próximas etapas
-
[AUTOTITLE](/code-security/supply-chain-security/end-to-end-supply-chain/securing-code) -
[AUTOTITLE](/code-security/supply-chain-security/end-to-end-supply-chain/securing-builds)