Skip to main content

Guia de início rápido do Dependabot

É possível usar o Dependabot para receber alertas quando o repositório estiver usando uma dependência de software com uma vulnerabilidade conhecida. Este guia ajudará você a começar a habilitar o Dependabot para um repositório e explorar os alertas relatados.

Quem pode usar esse recurso?

O Dependabot alerts está disponível para os seguintes repositórios:

  • Repositórios públicos no GitHub

Sobre o Dependabot

Este guia de início rápido orienta você na configuração e na habilitação do Dependabot e na exibição de Dependabot alerts e atualizações para um repositório.

O Dependabot consiste em três recursos diferentes que ajudam você a gerenciar dependências:

  • Dependabot alerts: informam você sobre vulnerabilidades nas dependências usadas em um repositório.
  • Dependabot security updates: geram automaticamente pull requests para atualizar as dependências usadas que possuem vulnerabilidades de segurança conhecidas.
  • Dependabot version updates: geram automaticamente pull requests para manter suas dependências atualizadas.

Pré-requisitos

Para o propósito deste guia, você usará um repositório de demonstração que ilustrará como o Dependabot encontra vulnerabilidades em dependências, onde é possível ver Dependabot alerts no GitHub e como explorar, corrigir ou ignorar esses alertas.

É necessário começar criando fork no repositório de demonstração.

  1. Navegue até https://github.com/dependabot/demo.
  2. Na parte superior direita da página, clique em Criar fork.
  3. Selecione um proprietário (é possível selecionar sua conta pessoal do GitHub) e digite um nome de repositório. Para saber como criar fork em repositórios, confira Criar fork de um repositório.
  4. Clique em Criar bifurcação.

Habilitar o Dependabot para o seu repositório

É necessário seguir as etapas abaixo no repositório em que você criou fork na etapa Pré-requisitos.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Code security.

  4. Em "Code security", à direita de Dependabot alerts, clique em Enable para Dependabot alerts, Dependabot security updates e Dependabot version updates.

  5. Opcionalmente, se estiver interessado em experimentar Dependabot version updates, clique em .github/dependabot.yml. Isso criará um arquivo de configuração dependabot.yml padrão no diretório /.github do repositório. Para habilitar Dependabot version updates no repositório, você normalmente configura esse arquivo a fim de atender às suas necessidades editando o arquivo padrão e confirmando as alterações. É possível conferir o trecho fornecido em Configurando a versão das atualizações do Dependabot para obter um exemplo.

Note

Se o grafo de dependência ainda não estiver habilitado para o repositório, o GitHub fará isso automaticamente quando você habilitar o Dependabot.

Para saber como configurar cada um desses recursos do Dependabot, confira Configurando alertas do Dependabot, Configurando as atualizações de segurança do Dependabot e Configurando a versão das atualizações do Dependabot.

Exibir Dependabot alerts para um repositório

Se os Dependabot alerts estiverem habilitados para um repositório, será possível exibir os Dependabot alerts na guia "Segurança" do repositório. É possível usar o repositório em que você criou fork e para o qual habilitou Dependabot alerts na seção anterior.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral "Alertas de vulnerabilidade" da visão geral de segurança, clique em Dependabot . Se essa opção está ausente, isso significa que você não tem acesso aos alertas de segurança e precisa receber o acesso. Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório".

    Captura de tela da visão geral de segurança, com a guia "Dependabot" realçada com um contorno laranja escuro.

  4. Examine os alertas abertos na página de Dependabot alerts. Por padrão, a página exibe a guia Aberto , listando os alertas abertos. (É possível exibir qualquer alerta fechado clicando em Fechado).

    Captura de tela da lista de alertas do Dependabot para o repositório de demonstração.

    É possível filtrar os Dependabot alerts na lista, usando uma variedade de filtros ou rótulos. Para saber mais, confira Visualizando e atualizando alertas do Dependabot. Também é possível usar Regras de triagem automática do Dependabot para filtrar os alertas falso positivos ou que não sejam importantes para você. Para saber mais, confira Sobre as regras de triagem automática do Dependabot.

  5. Clique no alerta "Injeção de comando em lodash" no arquivo javascript/package-lock.json. A página de detalhes do alerta mostrará as seguintes informações (observe que algumas podem não se aplicar a todos os alertas):

    • Indica se o Dependabot criou uma solicitação de pull que corrigirá a vulnerabilidade. É possível examinar a atualização de segurança sugerida clicando em Examinar atualização de segurança.
    • Pacote envolvido
    • Versões afetadas
    • Versão corrigida
    • Breve descrição da vulnerabilidade

    Captura de tela da página detalhada de um alerta no repositório de demonstração, mostrando as principais informações.

  6. Opcionalmente, também é possível explorar as informações no lado direito da página. Algumas das informações mostradas na captura de tela podem não se aplicar a todos os alertas.

    • Severidade
    • Métricas de CVSS: usamos níveis de CVSS para atribuir níveis de severidade. Para saber mais, confira Sobre o banco de dados de avisos do GitHub.
    • Marcações
    • Fraquezas: lista de CWEs relacionados à vulnerabilidade, se aplicável
    • ID de CVE: identificador exclusivo de CVE para a vulnerabilidade, se aplicável
    • ID de GHSA: identificador exclusivo do aviso correspondente no GitHub Advisory Database. Para saber mais, confira Sobre o banco de dados de avisos do GitHub.
    • Opção para navegar até o aviso no GitHub Advisory Database
    • Opção para ver todos os repositórios afetados por esta vulnerabilidade
    • Opção de sugestão de melhorias para o aviso no GitHub Advisory Database

    Captura de tela da página detalhada de um alerta no repositório de demonstração, mostrando as informações exibidas no lado direito da página.

Para saber como exibir, priorizar e classificar Dependabot alerts, confira Visualizando e atualizando alertas do Dependabot.

Corrigir ou ignorar um alerta do Dependabot

É possível corrigir ou ignorar Dependabot alerts no GitHub. Continue usando o repositório em que você criou fork como exemplo e o alerta "Injeção de comando em lodash" descrito na seção anterior.

  1. Navegue até a guia de Dependabot alerts do repositório. Para saber mais, confira a seção Exibir Dependabot alerts para um repositório acima.
  2. Clique em um alerta.
  3. Clique no alerta "Injeção de comando em lodash" no arquivo javascript/package-lock.json.
  4. Examine o alerta. Você pode:
    • Examine a atualização de segurança sugerida clicando em Examinar atualização de segurança. Isso abrirá a solicitação de pull gerada pelo Dependabot com a correção de segurança.

      Captura de tela da solicitação de pull gerada pelo Dependabot para corrigir a vulnerabilidade de segurança destacada pelo alerta selecionado.

      • Na descrição da solicitação de pull, é possível clicar em Commits para explorar os commits incluídos nela.
      • Também é possível clicar em Comandos e opções do Dependabot para aprender sobre os comandos que podem ser usados a fim de interagir com a solicitação de pull.
      • Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request.
    • Se você decidir que deseja ignorar o alerta:

      • Volte para a página de detalhes do alerta.

      • No canto superior direito, clique em Ignorar alerta.

        Captura de tela da página de detalhes do alerta com o botão “Ignorar alerta”, as opções do menu suspenso e a caixa de comentário de dispensa realçada com um contorno em laranja escuro.

      • Selecione um motivo para ignorar o alerta.

      • Opcionalmente, adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios.

      • Clique em Ignorar alerta. O alerta não aparecerá mais na guia Aberto da lista de alertas e será possível vê-lo na guia Fechado.

Para saber mais sobre a análise e a atualização de Dependabot alerts, confira Visualizando e atualizando alertas do Dependabot.

Solução de problemas

Poderá ser necessário solucionar problemas nos seguintes casos:

  • O Dependabot está impedido de criar uma solicitação de pull para corrigir um alerta ou
  • As informações relatadas pelo Dependabot não correspondem com o esperado.

Para saber mais, confira Troubleshooting Dependabot errors e Troubleshooting the detection of vulnerable dependencies, respectivamente.

Próximas etapas

Para obter mais informações sobre como configurar atualizações do Dependabot, consulte Configurando as atualizações de segurança do Dependabot e Configurando a versão das atualizações do Dependabot.

Para saber mais sobre a configuração do Dependabot para uma organização, confira Configurando alertas do Dependabot.

Para saber mais sobre a exibição de solicitações de pull abertas pelo Dependabot, confira Gerenciar pull requests para atualizações de dependências.

Para saber mais sobre os avisos de segurança que contribuem com os Dependabot alerts, confira Como procurar avisos de segurança no GitHub Advisory Database.

Para saber mais sobre a configuração de notificações sobre Dependabot alerts, confira Configurando notificações para alertas do Dependabot.