Configurando alertas do Dependabot

Permita que os Dependabot alerts sejam gerados quando uma nova dependência vulnerável for encontrada em um dos repositórios.

Quem pode usar esse recurso?

  • Administradores de repositório, proprietários de organizações e pessoas com acesso de gravação ou manutenção
  • Usuários e equipes com acesso explícito. Confira Permitir acesso a alertas de segurança.

Neste artigo

Alertas do Dependabot alerts para dependências vulneráveis

Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque.

O Dependabot verifica o código quando um novo aviso é adicionado ao GitHub Advisory Database ou ao grafo de dependência para alterações de repositório. Quando dependências vulneráveis forem detectadas, os Dependabot alerts serão gerados. Para saber mais, confira Sobre alertas do Dependabot.

Se você habilitou as Dependabot security updates para seu repositório, o alerta também pode conter um link para uma pull request a fim de atualizar o manifesto ou bloquear o arquivo para a versão mínima que resolve a vulnerabilidade. Para saber mais, confira Sobre as atualizações de segurança do Dependabot.

Para habilitar ou desabilitar Dependabot alerts para:

  • Sua conta pessoal
  • Seu repositório
  • Sua organização
  • Sua empresa

Além disso, você pode usar Regras de triagem automática do Dependabot para gerenciar seus alertas em escala para que você possa ignorar os alertas automaticamente ou colocá-los em ociosidade e especificar para quais alertas deseja que o Dependabot abra pull requests. Para obter informações sobre os diferentes tipos de regras de triagem automática e se seus repositórios são qualificados, confira Sobre as regras de triagem automática do Dependabot.

Gerenciamento de Dependabot alerts para sua conta pessoal

Você pode habilitar ou desabilitar Dependabot alerts para todos os repositórios de propriedade da sua conta pessoal.

          <a href="https://github.com/settings/security_analysis?ref_product=github&ref_type=engagement&ref_style=button" target="_blank" class="btn btn-primary mt-3 mr-3 no-underline">
          <span>Vá para suas configurações de segurança</span> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-link-external" aria-label="link external icon" role="img"><path d="M3.75 2h3.5a.75.75 0 0 1 0 1.5h-3.5a.25.25 0 0 0-.25.25v8.5c0 .138.112.25.25.25h8.5a.25.25 0 0 0 .25-.25v-3.5a.75.75 0 0 1 1.5 0v3.5A1.75 1.75 0 0 1 12.25 14h-8.5A1.75 1.75 0 0 1 2 12.25v-8.5C2 2.784 2.784 2 3.75 2Zm6.854-1h4.146a.25.25 0 0 1 .25.25v4.146a.25.25 0 0 1-.427.177L13.03 4.03 9.28 7.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.75-3.75-1.543-1.543A.25.25 0 0 1 10.604 1Z"></path></svg></a>

Habilitar ou desabilitar Dependabot alerts em repositórios existentes

  1. Em "Advanced Security", à direita de Dependabot alerts, clique em Desabilitar tudo ou Habilitar tudo.
  2. Opcionalmente, para habilitar Dependabot alerts por padrão para novos repositórios que você criar, na caixa de diálogo, selecione "Habilitar por padrão para novos repositórios".
  3. Clique em Desabilitar Dependabot alerts ou Habilitar Dependabot alerts para desabilitar ou habilitar Dependabot alerts para todos os seus repositórios.

Ao habilitar Dependabot alerts em repositórios existentes, você verá os resultados exibidos no GitHub em poucos minutos.

Habilitar ou desabilitar Dependabot alerts em novos repositórios

  1. Em "Advanced Security", à direita de Dependabot alerts, selecione Habilitar automaticamente para novos repositórios.

Gerenciamento de Dependabot alerts para seu repositório

Você pode gerenciar Dependabot alerts em seu repositório público, privado ou interno.

Por padrão, notificamos as pessoas com permissões de gravação, manutenção ou administração nos repositórios afetados sobre novos Dependabot alerts.}. GitHub nunca divulga publicamente dependências inseguras para nenhum repositório. Também é possível tornar o Dependabot alerts visível para pessoas ou equipes adicionais que trabalham com repositórios que você possui ou para os quais tem permissões de administrador.

Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.

Habilitar ou desabilitar Dependabot alerts em um repositório

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em "Advanced Security", à direita de Dependabot alerts, clique em Habilitar para habilitar alertas ou Desabilitar para desabilitar alertas.

Gerenciamento de Dependabot alerts para sua organização

Você pode habilitar Dependabot alerts para todos os repositórios elegíveis em sua organização. Para saber mais, confira Sobre a habilitação de recursos de segurança em escala.

Gerenciar Dependabot alerts para sua empresa

Você pode habilitar ou desabilitar Dependabot alerts para todos os repositórios atuais e futuros pertencentes à sua organização na sua empresa. Suas alterações afetam todos os repositórios.

  1. Na parte superior da página, clique em Settings.
  2. Na barra lateral esquerda, clique em Advanced Security.
  3. Na seção "Dependabot", à direita de Dependabot alerts, clique em Desabilitar tudo ou Habilitar tudo.
  4. Opcionalmente, selecione Habilitar automaticamente para novos repositórios habilitar Dependabot alerts por padrão para os novos repositórios da organização.