Skip to main content

Sobre alertas do Dependabot

GitHub envia Alertas do Dependabot quando detectamos que seu repositório usa uma dependência vulnerável ou malware.

Sobre Alertas do Dependabot

Note: Advisories for malware are currently in beta and subject to change.

Alertas do Dependabot diz que o seu código depende de um pacote inseguro.

Se o seu código depende de um pacote com uma vulnerabilidade de segurança, isto pode causar uma série de problemas para o seu projeto ou para as pessoas que o utilizam. Você deve atualizar para uma versão segura do pacote o mais rápido possível. Se o seu código usa malware, você precisa substituir o pacote por uma alternativa segura.

Para obter mais informações, consulte "Pesquisar consultorias de segurança em Banco de Dados Consultivo GitHub".

Detecção de dependências inseguras

Dependabot realiza uma digitalização para detectar dependências inseguras e envia Alertas do Dependabot quando:

  • Um novo aviso é adicionado ao Banco de Dados Consultivo GitHub. Para obter mais informações, consulte "Pesquisar consultorias de segurança em Banco de Dados Consultivo GitHub".

    Observação: Apenas consultorias que foram revisados por GitHub irão acionar Alertas do Dependabot.

  • O gráfico de dependências para alterações de repositório. Por exemplo, quando um colaborador faz push de um commit para alterar os pacotes ou versões de que depende ou quando o código de uma das alterações das dependências. Para obter mais informações, consulte "Sobre o gráfico de dependência".

Additionally, GitHub can review any dependencies added, updated, or removed in a pull request made against the default branch of a repository, and flag any changes that would reduce the security of your project. This allows you to spot and deal with vulnerable dependencies or malware before, rather than after, they reach your codebase. Para obter mais informações, consulte "Revisar as mudanças de dependências em um pull request".

Para obter uma lista dos ecossistemas nos quais GitHub detecta dependências inseguras, consulte "Ecossistemas de pacotes compatíveis.".

Observação: É importante manter seus manifestos atualizados e seu arquivos bloqueados. Se o gráfico de dependências não refletir corretamente suas dependências e versões atuais, você poderá perder alertas para dependências inseguras que você usar. Você também pode receber alertas de dependências que você já não usa.

Configuração de Alertas do Dependabot

GitHub detecta dependências e malware vulneráveis em repositórios públicos e exibe o gráfico de dependências, mas não gera Alertas do Dependabot por padrão. Proprietários de repositórios ou pessoas com acesso de administrador podem habilitar Alertas do Dependabot para repositórios públicos. Os proprietários de repositórios privados ou pessoas com acesso de administrador, podem habilitar o Alertas do Dependabot ativando o gráfico de dependências e Alertas do Dependabot para seus repositórios.

Você também pode habilitar ou desabilitar Alertas do Dependabot para todos os repositórios pertencentes à sua conta de usuário ou organização. Para obter mais informações, consulte "Configurando Alertas do Dependabot."

Para obter informações sobre os requisitos de acesso para ações relacionadas a Alertas do Dependabot, consulte "Funções do repositório para uma organização".

GitHub começa a gerar o gráfico de dependências imediatamente e gera alertas para quaisquer dependências inseguras assim que forem identificadas. O gráfico geralmente é preenchido em minutos, mas isso pode levar mais tempo para repositórios com muitas dependências. Para obter mais informações, consulte "Gerenciando configurações do uso de dados de seu repositório privado".

Quando GitHub identifica uma dependência vulnerável oude malware, geramos um alerta de Dependabot e exibimos na guia Segurança para o repositório e no gráfico de dependência do repositório. O alerta inclui um link para o arquivo afetado no projeto, e informações sobre uma versão fixa. GitHub também pode notificar os mantenedores dos repositórios afetados sobre o novo alerta de acordo com as suas preferências de notificação. Para obter mais informações, consulte "Configurando notificações para Alertas do Dependabot."

Para repositórios em que Atualizações de segurança do Dependabot estão habilitados, o alerta também pode conter um link para um pull request para atualizar o manifesto ou arquivo de bloqueio para a versão mínima que resolve a vulnerabilidade. Para obter mais informações, consulte "Sobre Atualizações de segurança do Dependabot."

Observação: As funcionalidades de segurança da GitHub não afirmam capturar todas as vulnerabilidades ede malware. Mantemos ativamente Banco de Dados Consultivo GitHub e geramos alertas com as informações mais atualizadas. No entanto, não podemos capturar tudo ou falar sobre vulnerabilidades conhecidas em um período de tempo garantido. Esses recursos não substituem a revisão humana de cada dependência em busca de possíveis vulnerabilidades ou algum outro problema, e nossa sugestão é consultar um serviço de segurança ou realizar uma revisão completa da dependência, quando necessário.

Acesso a Alertas do Dependabot

É possível ver todos os alertas que afetam um determinado projeto na aba Segurança do repositório ou no gráfico de dependências do repositório. Para obter mais informações, consulte "Visualizando e atualizando Alertas do Dependabot."

Por padrão, notificamos as pessoas com permissões de administrador nos repositórios afetados sobre os novos Alertas do Dependabot. GitHub nunca divulga publicamente dependências inseguras para qualquer repositório. Você também pode tornar o Alertas do Dependabot visível para pessoas ou repositórios de trabalho de equipes adicionais que você possui ou para os quais tem permissões de administrador. Para obter mais informações, consulte "Gerenciar configurações de segurança e análise do repositório".

To receive notifications about Alertas do Dependabot on repositories, you need to watch these repositories, and subscribe to receive "All Activity" notifications or configure custom settings to include "Security alerts." For more information, see "Configuring your watch settings for an individual repository."

You can choose the delivery method for notifications, as well as the frequency at which the notifications are sent to you. Para obter mais informações, consulte "Configurando notificações para Alertas do Dependabot."

Você também pode ver todos os Alertas do Dependabot que correspondem a uma consultoria particular em Banco de Dados Consultivo GitHub. Para obter mais informações, consulte "Pesquisar consultorias de segurança em Banco de Dados Consultivo GitHub".

Leia mais