Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Revendo alterações de dependência em um pull request

Se um pull request tiver alterações nas dependências, você poderá ver um resumo do que alterou e se há vulnerabilidades conhecidas em qualquer uma das dependências.

Neste artigo

Observação: A revisão de dependências está atualmente em fase beta e sujeita a alterações.

Sobre revisão de dependências

Se um pull request for direcionado ao branch padrão do seu repositório e contiver alterações em manifestos de pacote ou arquivos de bloqueio, você poderá exibir um comentário de dependência para ver o que foi alterado. A revisão de dependências inclui detalhes de alterações nas dependências indiretas nos arquivos de bloqueio, e informa a você se alguma das dependências adicionadas ou atualizadas contém vulnerabilidades conhecidas.

Revisão de dependência está disponível em:

  • Todos os repositórios públicos.
  • Repositórios privados pertencentes a organizações com uma licença de Segurança Avançada com o gráfico de dependências habilitado. Para obter mais informações, consulte "Explorar as dependências de um repositório".

Às vezes, você pode apenas querer atualizar a versão de uma dependência em um manifesto e gerar um pull request. No entanto, se a versão atualizada desta dependência direta também atualizou as dependências, seu pull request pode ter mais alterações do que o esperado. A revisão de dependência para cada manifesto e arquivo de bloqueio fornece uma maneira fácil de ver o que foi alterado e se alguma das novas versões de dependências contém vulnerabilidades conhecidas.

Ao verificar as revisões de dependências em um pull request e alterar todas as dependências sinalizadas como vulneráveis, você pode evitar que vulnerabilidades sejam adicionadas ao seu projeto. Dependabot alerts encontrará vulnerabilidades que já estão em suas dependências, mas é muito melhor evitar a introdução de possíveis problemas do que corrigi-los posteriormente. Para obter mais informações sobre Dependabot alerts, consulte "Sobre alertas para dependências vulneráveis".

A revisão de dependências é compatível com as mesmas linguagens e os mesmos ecossistemas de gestão de pacotes do gráfico de dependência. Para obter mais informações, consulte "Sobre o gráfico de dependência".

Revisar as dependências em um pull request

  1. No nome do repositório, clique em Pull requests.

    Problemas e seleção da guia pull requests

  2. Na lista de solicitações pull, clique na solicitação pull que você quer revisar.

  3. No pedido de pull request, clique em Arquivos alterados.

    Aba de Arquivos Alterados

  4. Se o pull request contiver muitos arquivos, use o menu suspenso Filtro de arquivo para recolher todos os arquivos que não registram dependências. Isso fará com que seja mais fácil focar a sua revisão nas alterações de dependência.

    Menu de filtro de arquivos

  5. À direita do cabeçalho de um manifesto ou arquivo de bloqueio, exiba a revisão de dependências clicando no botão de diff avançado.

    Botão de diff avançado

    Observação: A revisão de dependências fornece uma visão mais clara do que foi alterado em arquivos de bloqueio grandes, em que o diff de origem não é renderizado por padrão.

  6. Verifique as dependências listadas na revisão sobre dependências.

    Alertas de vulnerabilidade em revisão de dependências

    Quaisquer dependências adicionadas ou alteradas com vulnerabilidades são listadas primeiro, ordenadas por gravidade e, posteriormente, pelo nome da dependência. Isso significa que as dependências de severidade mais elevadas estão sempre na parte superior de uma revisão de dependência. Outras dependências estão listadas em ordem alfabética pelo nome das dependências.

    O ícone ao lado de cada dependência indica se a dependência foi adicionada (), atualizada () ou removida () neste pull request.

    Outras informações incluem:

    • A versão, ou intervalo de versão, da nova dependência, atualizada ou excluída.
    • Para uma versão específica de uma dependência:
      • A idade daquela versão da dependência.
      • O número de projetos que são dependentes deste software. Essa informação é tirada do gráfico de dependências. Verificar o número de dependentes pode ajudar você a evitar adicionar acidentalmente a dependência incorreta.
      • A licença usada por esta dependência, se estas informações estiverem disponíveis. Isso é útil se você desejar evitar o código com certas licenças usadas no seu projeto.

    Quando uma dependência tem uma vulnerabilidade conhecida, a mensagem de aviso inclui:

    • Uma breve descrição da vulnerabilidade.
    • Vvulnerabilidades e Exposições Comuns (CVE) ou um número de identificação de Aviso de Segurança do GitHub (GHSA). Você pode clicar nesse ID para saber mais sobre a vulnerabilidade.
    • A gravidade da vulnerabilidade.
    • A versão da dependência na qual a vulnerabilidade foi corrigida. Se você estiver revisando um pull request para alguém, você pode pedir ao contribuidor para atualizar a dependência para a versão corrigida ou para uma versão posterior.
  7. You may also want to review the source diff, because there could be changes to the manifest or lock file that don't change dependencies, or there could be dependencies that GitHub can't parse and which, as a result, don't appear in the dependency review.

    To return to the source diff view, click the button.

    Botão de diff de fonte

Esse documento ajudou você?

Privacy policy

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.