Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Exibir e atualizar dependências vulneráveis no repositório

Se o GitHub descobrir dependências vulneráveis no seu projeto, você poderá visualizá-las na aba de alertas do Dependabot no seu repositório. Em seguida, você pode atualizar seu projeto para resolver ou descartar a vulnerabilidade.

Os administradores e proprietários da organização podem visualizar e atualizar dependências.

Neste artigo

A aba de alertas do Dependabot do seu repositório lista todos Dependabot alerts e as Dependabot security updates correspondente. Você pode classificar a lista de alertas usando o menu suspenso e clicar em determinados alertas para ver mais detalhes. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis"

É possível habilitar atualizações de segurança automáticas para qualquer repositório que usa o Dependabot alerts e o gráfico de dependências. Para obter mais informações, consulte "Sobre Dependabot security updates."

Additionally, GitHub can review any dependencies added, updated, or removed in a pull request made against the default branch of a repository, and flag any changes that would introduce a vulnerability into your project. This allows you to spot and deal with vulnerable dependencies before, rather than after, they reach your codebase. Para obter mais informações, consulte "Revisar as mudanças de dependências em um pull request".

Sobre atualizações para dependências vulneráveis no seu repositório

GitHub gera Dependabot alerts quando detectamos que sua base de código está usando dependências com vulnerabilidades conhecidas. Para repositórios em que Dependabot security updates estão habilitados, quando GitHub detecta uma dependência vulnerável no branch padrão, Dependabot cria um pull request para corrigi-la. O pull request irá atualizar a dependência para a versão minimamente segura possível, o que é necessário para evitar a vulnerabilidade.

Visualizar e atualizar dependências vulneráveis

  1. No GitHub, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança.
    Guia de segurança
  3. Na barra lateral de segurança, clique em Dependabot alerts.
    Aaba Dependabot alerts
  4. Clique no alerta que deseja exibir.
    Alerta selecionado na lista de alertas
  5. Revise as informações da vulnerabilidade e, se disponível, o pull request que contém a atualização de segurança automatizada.
  6. Opcionalmente, se ainda não houver uma atualização de Dependabot security updates para o alerta, crie um pull request para resolver a vulnerabilidade. Clique em Criar uma atualização de segurança de Dependabot.
    Crie um botão de atualização de segurança do Dependabot
  7. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request. Cada pull request criado por Dependabot inclui informações sobre os comandos que você pode usar para controlar Dependabot. Para obter mais informações, consulte "Gerenciar pull requests para atualizações de dependências".
  8. Opcionalmente, se o alerta estiver sendo corrigido, se estiver incorreto, ou localizado em um código não utilizado, use o menu suspenso "Ignorar", e clique em um motivo para ignorar o alerta.
    Escolher o motivo para ignorar o alerta a partir do menu suspenso "Ignorar"down

Leia mais

Esse documento ajudou você?

Privacy policy

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.