Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Configurando as atualizações de segurança do Dependabot

Você pode usar Dependabot security updates ou pull requests manuais para atualizar facilmente dependências vulneráveis.

Sobre a configuração de Dependabot security updates

Você pode habilitar as Dependabot security updates no nível do repositório ou para todos os repositórios que pertencem à sua conta pessoal ou à organização. É possível habilitar o Dependabot security updates para qualquer repositório que use Dependabot alerts e o gráfico de dependências. Para obter mais informações, confira "Sobre as Dependabot security updates".

Você pode desativar as Dependabot security updates em um repositório individual ou para todos os repositórios que pertencem à sua conta pessoal ou organização.

O Dependabot e todos os recursos relacionados são cobertos pelos Termos de Serviço do GitHub.

Repositórios com suporte

O GitHub habilita automaticamente as Dependabot security updates para repositórios recém-criados quando na conta pessoal na ou organização estiver habilitada a opção Habilitar automaticamente para novos repositórios de Dependabot security updates. Para obter mais informações, confira "Como gerenciar as Dependabot security updates dos repositórios" abaixo.

Se você criar um fork de um repositório com atualizações de segurança habilitadas, o GitHub desabilitará automaticamente as Dependabot security updates do fork. Depois, você poderá decidir se deseja habilitar as Dependabot security updates no fork específico.

Se as atualizações de segurança não estiverem habilitadas para o seu repositório e você não souber o motivo, primeiro tente habilitá-las utilizando as instruções fornecidas nas seções de procedimento abaixo. Se atualizações de segurança ainda não funcionarem, você pode entrar em contato com GitHub Support.

Gerenciar Dependabot security updates para seus repositórios

Você pode habilitar ou desabilitar as Dependabot security updates para todos os repositórios qualificados pertencentes à sua conta pessoal ou à organização. Para obter mais informações, confira "Como gerenciar as configurações de segurança e análise da sua conta pessoal" ou "Como gerenciar as configurações de segurança e análise da sua organização".

Você pode habilitar ou desabilitar as Dependabot security updates em um repositório individual.

Habilitar ou desabilitar Dependabot security updates para um repositório individual

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Configurações. Botão Configurações do repositório

  2. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  3. Em "Segurança e análise de código", à direita de "Atualizações de segurança do Dependabot", clique em Habilitar para habilitar o recurso ou Desabilitar para desabilitá-lo. Para repositórios públicos, o botão será desabilitado se o recurso estiver sempre habilitado. Captura de tela da seção "Segurança e análise de código" com o botão para habilitar as Dependabot security updates

Como substituir o comportamento padrão com um arquivo de configuração

Você pode substituir o comportamento padrão de Dependabot security updates adicionando um arquivo dependabot.yml ao repositório. Para obter mais informações, confira "Opções de configuração para o arquivo dependabot.yml".

Se você precisar apenas das atualizações de segurança e quiser excluir as atualizações de versão, defina open-pull-requests-limit como 0 para evitar atualizações de versão de um determinado package-ecosystem. Para obter mais informações, confira "open-pull-requests-limit".

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

Para obter mais informações sobre as opções de configuração disponíveis para atualizações de segurança, confira a tabela em "Opções de configuração do arquivo dependabot.yml".

Leitura adicional