Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
All products
Segurança do código

Sobre alertas do Dependabot

Neste artigo

O GitHub envia Dependabot alerts quando detectamos que o repositório usa uma dependência vulnerável ou um malware.

Os Dependabot alerts são gratuitos para uso em todos os repositórios do GitHub.com.

Sobre Dependabot alerts

Observação: o Assistente para malware está atualmente na versão beta e está sujeito a alterações.

Os Dependabot alerts informam que o código depende de um pacote que não é seguro.

Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, isso pode causar uma série de problemas para o projeto ou para as pessoas que o usam. Você deve atualizar o pacote para uma versão segura o quanto antes. Se o código usar malware, você precisará substituir o pacote por uma alternativa segura.

Para obter mais informações, confira "Como procurar avisos de segurança no GitHub Advisory Database".

Detecção de dependências não seguras

O Dependabot faz uma verificação para detectar dependências não seguras e envia Dependabot alerts quando:

  • Uma nova vulnerabilidade é adicionada ao GitHub Advisory Database. Para obter mais informações, confira "Como procurar avisos de segurança no GitHub Advisory Database".

    Observação: apenas as consultorias que foram revisadas pelo GitHub vão disparar Dependabot alerts.

  • Quanto o grafo de dependência de um repositório é alterado. Por exemplo, quando um colaborador efetua push de um commit para alterar os pacotes ou as versões dependentes ou quando o código de uma das dependências é alterado. Para obter mais informações, confira "Sobre o gráfico de dependências".

Observação: Dependabot não examina repositórios arquivados.

Além disso, GitHub pode revisar todas as dependências adicionadas, atualizadas ou removidas em uma solicitação de pull feita para a ramificação padrão de um repositório e sinalizar quaisquer alterações que introduziriam uma vulnerabilidade no seu projeto. Isso permite identificar e lidar com dependências vulneráveis ou malware antes, em vez de depois, que eles cheguem à sua base de código. Para obter mais informações, confira "Revendo alterações de dependência em um pull request".

Para obter uma lista dos ecossistemas nos quais o GitHub detecta dependências não seguras, confira "Sobre o gráfico de dependências".

Observação: é importante manter seus arquivos de manifesto e de bloqueio atualizados. Se o grafo de dependência não refletir corretamente as dependências e versões atuais, você poderá perder alertas sobre dependências não seguras que forem usadas. Você também pode receber alertas de dependências que você já não usa.

Configuração de Dependabot alerts

O GitHub detecta dependências vulneráveis e malware em repositórios públicos e exibe o grafo de dependência, mas não gera Dependabot alerts por padrão. Proprietários de repositórios ou pessoas com acesso de administrador podem habilitar Dependabot alerts para repositórios públicos. Os proprietários de repositórios privados ou pessoas com acesso de administrador, podem habilitar o Dependabot alerts ativando o gráfico de dependências e Dependabot alerts para seus repositórios.

Você também pode habilitar ou desabilitar Dependabot alerts em todos os repositórios pertencentes à sua conta de usuário ou de organização. Para obter mais informações, confira "Configurando alertas do Dependabot".

Para obter informações sobre os requisitos de acesso para ações relacionadas aos Dependabot alerts, confira "Funções de repositório para uma organização".

O GitHub começa a gerar o grafo de dependência imediatamente e gera alertas sobre dependências não seguras assim que elas são identificadas. O gráfico geralmente é preenchido em minutos, mas isso pode levar mais tempo para repositórios com muitas dependências. Para obter mais informações, confira "Gerenciando configurações de uso de dados para seu repositório privado".

Quando o GitHub identifica uma dependência vulnerável ou um malware, geramos um alerta do Dependabot e o exibimos na guia Segurança do repositório e no grafo de dependência do repositório. O alerta inclui um link para o arquivo afetado no projeto e informações sobre uma versão corrigida. GitHub também pode notificar os mantenedores dos repositórios afetados sobre o novo alerta de acordo com as suas preferências de notificação. Para obter mais informações, confira "Configurando notificações para alertas do Dependabot".

Para os repositórios em que as Dependabot security updates estão habilitadas, o alerta também pode conter um link para uma solicitação de pull a fim de atualizar o arquivo de manifesto ou de bloqueio para a versão mínima que resolve a vulnerabilidade. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot".

Observação: os recursos de segurança do GitHub não afirmam que capturam todas as vulnerabilidades e malwares. Mantemos ativamente um GitHub Advisory Database e geramos alertas com as informações mais atualizadas. No entanto, não podemos capturar tudo nem informar sobre vulnerabilidades conhecidas em um período garantido. Esses recursos não substituem a análise humana de cada dependência em busca de possíveis vulnerabilidades ou outros problemas. Portanto, recomendamos que você busque serviços de segurança ou realize uma análise de dependências completa sempre que necessário.

Acesso a Dependabot alerts

É possível ver todos os alertas que afetam determinado projeto na guia Segurança do repositório ou no grafo de dependência do repositório. Para obter mais informações, confira "Visualizando e atualizando alertas do Dependabot".

Por padrão, notificamos as pessoas com permissões de administrador nos repositórios afetados sobre os novos Dependabot alerts. O GitHub nunca divulga publicamente as dependências não seguras de nenhum repositório. Você também pode tornar o Dependabot alerts visível para outras pessoas ou equipes que trabalham com repositórios pertencentes a você ou para os quais tem permissões de administrador. Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório".

Para receber notificações sobre os Dependabot alerts nos repositórios, inspecione esses repositórios e inscreva-se para receber notificações de "Todas as Atividades" ou defina configurações personalizadas para incluir "Alertas de segurança". Para obter mais informações, confira "Configurar notificações". Você pode escolher o método de entrega para as notificações, bem como a frequência com que elas são enviadas a você. Para obter mais informações, confira "Configurando notificações para alertas do Dependabot".

Você também pode ver todos os Dependabot alerts que correspondem a uma vulnerabilidade específica no GitHub Advisory Database. Para obter mais informações, confira "Como procurar avisos de segurança no GitHub Advisory Database".

Leitura adicional