Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre as atualizações de segurança do Dependabot

Dependabot pode corrigir dependências vulneráveis para você, levantando pull requests com atualizações de segurança.

Neste artigo

Sobre o Atualizações de segurança do Dependabot

Atualizações de segurança do Dependabot torna mais fácil para você corrigir dependências vulneráveis no seu repositório. Se você habilitar este recurso, quando um alerta de Dependabot for criado para uma dependência vulnerável no gráfico de dependências do seu repositório, Dependabot tenta corrigir isso automaticamente. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis de" e "Configurar Atualizações de segurança do Dependabot".

GitHub pode enviar alertas de Dependabot a repositórios afetados por uma vulnerabilidade revelada por uma consultoria de segurança publicada recentemente em GitHub. Para obter mais informações, consulte "Sobre Aviso de Segurança do GitHub".

Dependabot verifica se é possível atualizar a dependência vulnerável para uma versão fixa sem comprometer o gráfico de dependências para o repositório. Em seguida, Dependabot levanta um pull request para atualizar a dependência para a versão mínima que inclui o patch e os links do pull request para o alerta de Dependabot ou relata um erro no alerta. Para obter mais informações, consulte "Solução de problemas de erros de Dependabot".

Observação

O recurso de Atualizações de segurança do Dependabot está disponível para repositórios nos quais você habilitou o gráfico de dependências e Alertas do Dependabot. Você verá um alerta de Dependabot para cada dependência vulnerável identificada no seu gráfico de dependências completas. No entanto, atualizações de segurança são acionadas apenas para dependências especificadas em um manifesto ou arquivo de bloqueio. Dependabot não consegue atualizar uma dependência indireta ou transitória que não esteja explicitamente definida. Para obter mais informações, consulte "Sobre o gráfico de dependência".

Você pode habilitar um recurso relacionado, Atualizações de versão do Dependabot, para que Dependabot abra pull requests para atualizar o manifesto para a última versão da dependência, sempre que detectar uma dependência desatualizada. Para obter mais informações, consulte "Sobre atualizações da versão de Dependabot".

When Dependabot raises pull requests, these pull requests could be for security or version updates:

  • Atualizações de segurança do Dependabot are automated pull requests that help you update dependencies with known vulnerabilities.
  • Atualizações de versão do Dependabot are automated pull requests that keep your dependencies updated, even when they don’t have any vulnerabilities. To check the status of version updates, navigate to the Insights tab of your repository, then Dependency Graph, and Dependabot.

Sobre os pull requests para atualizações de segurança

Cada pull request contém tudo o que você precisa para revisar mesclar, de forma rápida e segura, uma correção proposta em seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Detalhes de quais vulnerabilidades são resolvidas por um pull request de qualquer pessoa que não tem acesso a Alertas do Dependabot para o repositório.

Ao fazer merge de um pull request que contém uma atualização de segurança, o alerta de Dependabot correspondente é marcado como resolvido no seu repositório. Para obter mais informações sobre pull requests de Dependabot, consulte "Gerenciar pull requests para atualizações de dependências".

Observação: É uma prática recomendada ter testes automatizados e processos de aceitação em vigor para que as verificações sejam realizadas antes do merge do pull request. Isso é especialmente importante se a versão sugerida a ser atualizada contiver funcionalidades adicionais ou se uma mudança que quebrar o código do seu projeto. Para obter mais informações sobre a integração contínua, consulte "Sobre integração contínua".

Sobre pontuações de compatibilidade

O Atualizações de segurança do Dependabot pode inclui uma pontuação de compatibilidade para que você saiba se atualizar uma vulnerabilidade pode causar alterações significativas no seu projeto. Estes são calculados a partir de testes de CI em outros repositórios públicos onde a mesma atualização de segurança foi gerada. Uma pontuação de compatibilidade da atualização é a porcentagem de execuções de CI que foram aprovadas durante a atualização entre versões específicas da dependência.

Sobre notificações para atualizações de segurança de Dependabot

Você pode filtrar suas notificações em GitHub para mostrar as atualizações de segurança de Dependabot. Para obter mais informações, consulte "Gerenciando notificações de sua caixa de entrada".

Esse documento ajudou você?

Privacy policy

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.