Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Revendo alterações de dependência em um pull request

Se um pull request tiver alterações nas dependências, você poderá ver um resumo do que alterou e se há vulnerabilidades conhecidas em qualquer uma das dependências.

Revisão de dependências está incluída em GitHub Enterprise Cloud para repositórios públicos. To use dependency review in private repositories owned by organizations, you must have a license for Segurança Avançada GitHub. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub".

Sobre revisão de dependências

Revisão de dependências ajuda você a entender as alterações de dependência e o impacto de segurança dessas alterações em cada pull request. Ele fornece uma visualização facilmente compreensível de mudanças de dependência, com um rico diff na aba "Arquivos alterados" de um pull request. A revisão de dependências informa você:

  • Quais dependências foram adicionadas, removidas ou atualizadas, junto com as datas de versão.
  • Quantos projetos usam esses componentes.
  • Dados de vulnerabilidade para essas dependências.

Antes de usar a revisão de dependências em um repositório privado, você deve habilitar o gráfico de dependências. Para obter mais informações, consulte "Explorando as dependências de um repositório"

Revisão de dependência permite a você "desloque para a esquerda". Você pode usar as informações preditivas fornecidas para capturar dependências vulneráveis antes que elas cheguem à produção. Para obter mais informações, consulte "Sobre a revisão de dependências".

Você pode usar a Revisão de Dependência do GitHub Action para ajudar a implementar revisões de dependências em pull requests no seu repositório. Para obter mais informações, consulte "Aplicação da revisão de dependências".

Revisar as dependências em um pull request

  1. Abaixo do nome do seu repositório, clique em Pull requests.

    Problemas e seleção da guia pull requests

  2. Na lista de solicitações pull, clique na solicitação pull que você quer revisar.

  3. No pedido de pull request, clique em Arquivos alterados. Guia Files changed (Arquivos alterados) da pull request

  4. Se o pull request contiver muitos arquivos, use o menu suspenso Filtro de arquivo para recolher todos os arquivos que não registram dependências. Isso fará com que seja mais fácil focar a sua revisão nas alterações de dependência.

    Menu de filtro de arquivos A revisão sobre dependências fornece uma visão mais clara do que mudou nos grandes arquivos de bloqueio, em que o diff de origem não é representado por padrão.

    Observação: Revisões de Dependência de diffs avançados não estão disponíveis para arquivos estáticos do JavaScript que passaram por commit como, por exemplo, jquery.js.

  5. À direita do cabeçalho de um manifesto ou arquivo de bloqueio, exiba a revisão de dependências clicando no botão de diff avançado.

    Botão de diff avançado

  6. Verifique as dependências listadas na revisão sobre dependências.

    Alertas de vulnerabilidade em revisão de dependências

    Quaisquer dependências adicionadas ou alteradas com vulnerabilidades são listadas primeiro, ordenadas por gravidade e, posteriormente, pelo nome da dependência. Isso significa que as dependências de severidade mais elevadas estão sempre na parte superior de uma revisão de dependência. Outras dependências estão listadas em ordem alfabética pelo nome das dependências.

    O ícone ao lado de cada dependência indica se a dependência foi adicionada (), atualizada () ou removida () neste pull request.

    Outras informações incluem:

    • A versão, ou intervalo de versão, da nova dependência, atualizada ou excluída.
    • Para uma versão específica de uma dependência:
      • A idade daquela versão da dependência.
      • O número de projetos que são dependentes deste software. Essa informação é tirada do gráfico de dependências. Verificar o número de dependentes pode ajudar você a evitar adicionar acidentalmente a dependência incorreta.
      • A licença usada por esta dependência, se estas informações estiverem disponíveis. Isso é útil se você desejar evitar o código com certas licenças usadas no seu projeto.

    Quando uma dependência tem uma vulnerabilidade conhecida, a mensagem de aviso inclui:

    • Uma breve descrição da vulnerabilidade.
    • Vvulnerabilidades e Exposições Comuns (CVE) ou um número de identificação de Aviso de Segurança do GitHub (GHSA). Você pode clicar nesse ID para saber mais sobre a vulnerabilidade.
    • A gravidade da vulnerabilidade.
    • A versão da dependência na qual a vulnerabilidade foi corrigida. Se você estiver revisando um pull request para alguém, você pode pedir ao contribuidor para atualizar a dependência para a versão corrigida ou para uma versão posterior.
  7. É possível que você também queira revisar o diff da fonte, porque pode haver alterações no manifesto ou arquivo de bloqueio que não mudam as dependências, ou pode haver dependências que GitHub não pode analisar e que, consequentemente, não aparecem na revisão de dependências.

    Para retornar à visão do diff de origem, clique no botão .

    Botão de diff de fonte