Sobre o Dependabot alerts para dependências vulneráveis e malware
Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque.
O Dependabot verifica o código quando um novo aviso é adicionado ao GitHub Advisory Database ou ao grafo de dependência para alterações de repositório. Quando dependências vulneráveis ou malware são detectados, o Dependabot alerts é gerado. Para obter mais informações, confira "Sobre alertas do Dependabot".
Se você habilitou Dependabot security updates para seu repositório, o alerta também pode conter um link para uma solicitação de pull a fim de atualizar o manifesto ou bloquear o arquivo para a versão mínima que resolve a vulnerabilidade. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot".
Para habilitar ou desabilitar Dependabot alerts para:
- Sua conta pessoal
- Seu repositório
- Sua organização
Gerenciamento de Dependabot alerts para sua conta pessoal
Você pode habilitar ou desabilitar Dependabot alerts para todos os repositórios de propriedade da sua conta pessoal.
Habilitar ou desabilitar Dependabot alerts em repositórios existentes
-
No canto superior direito de qualquer página, clique na foto do seu perfil e em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", à direita de Dependabot alerts, clique em Desabilitar tudo ou Habilitar tudo.
-
Opcionalmente, para habilitar Dependabot alerts por padrão para novos repositórios que você criar, na caixa de diálogo, selecione "Habilitar por padrão para novos repositórios".
-
Clique em Desabilitar Dependabot alerts ou Habilitar Dependabot alerts para desabilitar ou habilitar Dependabot alerts para todos os seus repositórios.
Ao habilitar Dependabot alerts em repositórios existentes, você verá os resultados exibidos no GitHub em poucos minutos.
Habilitar ou desabilitar Dependabot alerts em novos repositórios
-
No canto superior direito de qualquer página, clique na foto do seu perfil e em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", à direita de Dependabot alerts, clique em Habilitar automaticamente para novos repositórios.
Gerenciamento de Dependabot alerts para seu repositório
É possível gerenciar Dependabot alerts para repositórios públicos, privados ou internos.
Por padrão, notificaremos as pessoas com permissões de administrador gravação, manter ou nos repositórios afetados sobre os novos Dependabot alerts. O GitHub nunca divulga publicamente as dependências não seguras de nenhum repositório. Também é possível tornar o Dependabot alerts visível para pessoas ou equipes adicionais que trabalham com repositórios que você possui ou para os quais tem permissões de administrador.
Se você habilitar recursos de segurança e análise, o GitHub executará a análise somente leitura no seu repositório.
Habilitar ou desabilitar Dependabot alerts em um repositório
-
No GitHub.com, navegue até a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", à direita do Dependabot alerts, clique em Habilitar para habilitar alertas ou Desabilitar para desabilitar alertas.
Gerenciamento de Dependabot alerts para sua organização
É possível habilitar ou desabilitar Dependabot alerts para todos os repositórios pertencentes à organização. Para obter mais informações sobre como habilitar recursos de segurança em uma organização, confira "Como proteger sua organização".
Habilitar ou desabilitar Dependabot alerts em todos os repositórios existentes
Você pode usar a página de configurações da organização para "Segurança e análise de código" para ativar Dependabot alerts para todos os repositórios existentes em uma organização.
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e clique em Suas organizações.
-
Ao lado da organização, clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", à direita de Dependabot alerts, clique em Desabilitar tudo ou Habilitar tudo.
-
Opcionalmente, para habilitar Dependabot alerts por padrão para novos repositórios em sua organização, na caixa de diálogo, selecione "Habilitar por padrão para novos repositórios".
-
Clique em Desabilitar Dependabot alerts ou Habilitar Dependabot alerts para desabilitar ou habilitar Dependabot alerts para todos os repositórios da sua organização.