Exibir e atualizar dependências vulneráveis no repositório

Se o GitHub descobrir dependências vulneráveis no seu projeto, você poderá visualizá-las na aba de alertas do Dependabot no seu repositório. Em seguida, você pode atualizar seu projeto para resolver ou descartar a vulnerabilidade.

Repository administrators and organization owners can view and update dependencies.

A aba de alertas de Dependabot do repositório lista as todos os Alertas do Dependabot abertos e fechados e Atualizações de segurança do Dependabot correspondentes . Você pode classificar a lista de alertas usando o menu suspenso e clicar em determinados alertas para ver mais detalhes. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis"

É possível habilitar atualizações de segurança automáticas para qualquer repositório que usa o Alertas do Dependabot e o gráfico de dependências. Para obter mais informações, consulte "Sobre Atualizações de segurança do Dependabot."

Além disso, GitHub pode revisar todas as dependências adicionadas, atualizadas ou removidas em um pull request feita para o branch padrão de um repositório e sinalizar quaisquer alterações que introduziriam uma vulnerabilidade no seu projeto. Isso permite que você detecte e gerencie as dependências vulneráveis antes, e não depois, de elas alcançarem seu código. Para obter mais informações, consulte "Revisar as mudanças de dependências em um pull request".

Sobre atualizações para dependências vulneráveis no seu repositório

GitHub gera Alertas do Dependabot quando detectamos que sua base de código está usando dependências com vulnerabilidades conhecidas. Para repositórios em que Atualizações de segurança do Dependabot estão habilitados, quando GitHub detecta uma dependência vulnerável no branch padrão, Dependabot cria um pull request para corrigi-la. O pull request irá atualizar a dependência para a versão minimamente segura possível, o que é necessário para evitar a vulnerabilidade.

Visualizar e atualizar dependências vulneráveis

  1. No GitHub, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança. Guia de segurança
  3. In the security sidebar, click Alertas do Dependabot. Alertas do Dependabot tab
  4. Clique no alerta que deseja exibir. Alerta selecionado na lista de alertas
  5. Revise as informações da vulnerabilidade e, se disponível, o pull request que contém a atualização de segurança automatizada.
  6. Opcionalmente, se ainda não houver uma atualização de Atualizações de segurança do Dependabot para o alerta, crie um pull request para resolver a vulnerabilidade. Clique em Criar uma atualização de segurança de Dependabot. Crie um botão de atualização de segurança do Dependabot
  7. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request. Cada pull request criado por Dependabot inclui informações sobre os comandos que você pode usar para controlar Dependabot. Para obter mais informações, consulte "Gerenciar pull requests para atualizações de dependências".
  8. Opcionalmente, se o alerta estiver sendo corrigido, se estiver incorreto, ou localizado em um código não utilizado, use o menu suspenso "Ignorar", e clique em um motivo para ignorar o alerta. Escolher o motivo para ignorar o alerta a partir do menu suspenso "Ignorar"down

Leia mais

Esse documento ajudou você?Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.