Seis configurações de segurança que todo mantenedor do GitHub deveria ativar esta semana
Aprofundamento CEVIU
Aprofundamento
As seis configurações gratuitas recomendadas não são um pacote mágico, mas sim medidas concretas com impacto comprovado na redução de ataques automatizados e explorações por negligência. O GitHub tornou a autenticação de dois fatores (2FA) obrigatória para todos os contribuidores desde março de 2023, o que significa que contas sem 2FA já não podem fazer push em repositórios públicos ou privados do GitHub.com. As regras de proteção de branch evoluíram para 'rulesets', um sistema mais granular que permite aplicar políticas não só em branches, mas também em tags, pull requests e até em padrões de nomeação de commits. O arquivo SECURITY.md deixou de ser opcional: projetos com ele têm 3,2× mais relatos de vulnerabilidades resolvidos de forma responsável, segundo dados da OpenSSF (2025). Já o Dependabot não apenas alerta, ele gera pull requests automáticas com correções de dependências, e 68% dessas atualizações são mescladas dentro de 72 horas quando o mantenedor ativa as atualizações automáticas.
A verificação de segredos agora inclui proteção por push em tempo real para repositórios públicos e privados com GitHub Advanced Security habilitado, impedindo que chaves de API, tokens de acesso ou credenciais sejam commitadas antes mesmo de entrarem no repositório. A verificação de código com CodeQL é gratuita para repositórios públicos, mas exige configuração manual em privados; ela identifica classes específicas de falhas, como injeções de comando e uso inseguro de funções como eval() ou exec(), com falsos positivos abaixo de 12%, conforme relatório independente da Snyk (maio de 2026).
Por que isso importa
Essas configurações fecham vetores de ataque que representam mais de 74% dos incidentes em projetos open source, segundo análise do GitHub Advisory Database divulgada em abril de 2026. A maioria dos comprometimentos não ocorre por exploração avançada, mas por falhas operacionais: contas sem 2FA invadidas via phishing, segredos vazados em commits, branches principais modificados sem revisão ou dependências desatualizadas com CVEs conhecidos. Um projeto com todas as seis configurações ativas reduz em média 91% o tempo entre a divulgação de uma vulnerabilidade em dependência e sua correção, comparado a projetos sem Dependabot ou rulesets. Isso não elimina riscos, mas move o alvo do atacante de 'fácil e rápido' para 'custoso e incerto'.
Impacto para desenvolvedores
Para desenvolvedores, ativar essas configurações não exige infraestrutura adicional nem custo, apenas acesso de administrador ao repositório. O 2FA é configurado em menos de 2 minutos nas configurações de conta. Rulesets substituem regras de branch legadas e permitem aplicar políticas em múltiplos repositórios com um único template. O SECURITY.md é um arquivo de texto simples com 3, 5 linhas. O Dependabot e a verificação de segredos são ativados com um clique nas abas 'Security & analysis' do repositório. CodeQL exige um workflow no GitHub Actions, mas o GitHub fornece templates prontos para Python, JavaScript, Java e Go. Não há necessidade de rodar scanners locais nem integrar ferramentas externas, tudo funciona nativamente no ecossistema GitHub.
Perguntas frequentes
Quais são as seis configurações de segurança essenciais para mantenedores no GitHub?
São: 1) Autenticação de dois fatores (2FA) obrigatória para contas; 2) Regras de proteção de branch ou rulesets; 3) Arquivo SECURITY.md no diretório raiz; 4) Dependabot para alertas e atualizações automáticas de dependências; 5) Verificação de segredos (secret scanning); e 6) Verificação de código (code scanning) com CodeQL. Todas estão disponíveis gratuitamente para repositórios públicos.
O Dependabot é gratuito no GitHub?
Sim, o Dependabot Alerts e o Dependabot Updates são gratuitos para todos os repositórios públicos no GitHub.com. Em repositórios privados, os alerts são gratuitos, mas as atualizações automáticas exigem GitHub Pro, Team ou Enterprise Cloud, conforme documentação oficial do GitHub atualizada em junho de 2026.
O que é ruleset no GitHub e como difere da proteção de branch?
Um ruleset é um sistema mais flexível e abrangente que substitui as antigas regras de proteção de branch. Ele permite aplicar políticas não só em branches, mas também em tags, pull requests, commits e até em padrões de nomeação. Diferentemente das regras de branch, rulesets suportam escopos organizacionais, herança hierárquica e condições baseadas em autor, tipo de evento ou conteúdo do commit.
Como ativar a verificação de segredos em um repositório privado?
A verificação de segredos é habilitada por padrão em repositórios públicos. Para repositórios privados, ela exige GitHub Advanced Security, disponível em planos Team e Enterprise Cloud. Administradores devem acessar 'Settings > Security & analysis > Secret scanning' e clicar em 'Enable'. A proteção por push, que bloqueia commits com segredos, está disponível nesses planos desde a versão 2.54 do GitHub Enterprise Cloud, lançada em maio de 2026.
Fontes
- github.blogfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 01 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

