Skip to main content

Sobre as regras de triagem automática do Dependabot

As Regras de triagem automática do Dependabot são uma ferramenta poderosa para ajudar você a gerenciar melhor seus alertas de segurança em escala. Predefinições do GitHub são regras coletadas por GitHub que podem ser usadas para filtrar uma quantidade substancial de falsos positivos. As Regras de triagem automática personalizadas fornecem controle sobre quais alertas são ignorados, colocados em ociosidade ou quais acionam uma atualização de segurança para o Dependabot de modo a resolver o alerta.

Quem pode usar esse recurso?

People with write permissions can view Regras de triagem automática do Dependabot for the repository. People with admin permissions to a repository can enable or disable Regras de triagem automática for the repository, as well as create regras de triagem automática personalizadas. Additionally, organization owners and security managers can set Regras de triagem automática at the organization-level and optionally choose to enforce rules for repositories in the organization.

Notas: atualmente, as Regras de triagem automática do Dependabot estão na versão beta e sujeitas a alterações.

Sobre Regras de triagem automática do Dependabot

As Regras de triagem automática do Dependabot permitem instruir o Dependabot a triar automaticamente Dependabot alerts. Você pode usar Regras de triagem automática para automaticamente ignorar ou colocar em ociosidade os alertas para os quais deseja que o Dependabot abra pull requests.

Há dois tipos de Regras de triagem automática do Dependabot:

  • Predefinições do GitHub
  • Regras de triagem automática personalizadas

Sobre Predefinições do GitHub

Predefinições do GitHub para Dependabot alerts são regras que estão disponíveis para todos os repositórios..

Predefinições do GitHub são regras coletadas por GitHub. O Dismiss low impact issues for development-scoped dependencies é uma regra predefinida GitHub. Essa regra interna ignora automaticamente certos tipos de vulnerabilidades encontradas nas dependências do npm usadas no desenvolvimento. A regra foi coletada para reduzir falsos positivos e reduzir a fadiga de alerta. A regra está habilitada por padrão para repositórios públicos e pode ser ativada para repositórios privados. No entanto, não é possível modificar Predefinições do GitHub. Para obter mais informações, confira "Usar regras predefinidas do GitHub para priorizar alertas do Dependabot".

Sobre regras de triagem automática personalizadas

As Regras de triagem automática personalizadas para Dependabot alerts estão disponíveis em qualquer repositório público (gratuitamente) .

Com regras de triagem automática personalizadas, você pode criar suas próprias regras para ignorar ou reabrir alertas automaticamente com base em metadados direcionados, como gravidade nome do pacote e CWE, entre outros. Você pode especificar que regras de alerta deseja Dependabot para abrir pull requests. Para obter mais informações, confira "Personalizando regras de triagem automática para priorizar alertas do Dependebot".

Sobre alertas de rejeição automática

Embora possa ser útil ignorar automaticamente alertas para utilizar regras de triagem automática, você ainda pode reabrir alertas ignorados automaticamente e filtrar para ver quais alertas foram ignorados automaticamente. Para obter mais informações, confira "Como gerenciar alertas que foram ignorados automaticamente por uma regra de triagem automática do Dependabot".

Além disso, os alertas ignorados automaticamente ainda estão disponíveis para relatórios e análise e poderão ser reabertos automaticamente se os metadados do alerta forem alterados, por exemplo:

  • Se você alterar o escopo de uma dependência de desenvolvimento para produção.
  • Se o GitHub modificar determinados metadados para o comunicado relacionado.

Os alertas ignorados automaticamente são definidos pelo motivo de encerramento resolution:auto-dismiss. A atividade que ignora alertas automaticamente está incluída em webhooks de alerta, em APIs REST, em APIs do GraphQL e no log de auditoria. Para obter mais informações, consulte "Pontos de extremidade da API REST para o Dependabot alerts" e a seção "repository_vulnerability_alert" em "Revisar o log de auditoria da organização."

Leitura adicional