Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre alertas para dependências vulneráveis

GitHub Enterprise Server envia Alertas do Dependabot quando detectarmos vulnerabilidades que afetam o repositório.

Neste artigo

Sobre as dependências vulneráveis

Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque.

Quando o seu código depende de um pacote que tenha uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas para o seu projeto ou para as pessoas que o usam.

Detecção de dependências vulneráveis

Dependabot detecta dependências vulneráveis e envia Alertas do Dependabot alertas quando:

Para obter uma lista dos ecossistemas para os quais o GitHub Enterprise Server pode detectar vulnerabilidades e dependências, consulte "Ecossistemas de pacotes compatíveis".

Observação: É importante manter seus manifestos atualizados e seu arquivos bloqueados. Se o gráfico de dependências não refletir corretamente suas dependências e versões atuais, você poderá perder alertas para dependências vulneráveis que você usar. Você também pode receber alertas de dependências que você já não usa.

Alertas do Dependabot para dependências vulneráveis

O seu administrador do site deve habilitar Dependabot para dependências vulneráveis para sua instância do GitHub Enterprise Server antes de você poder usar este recurso. Para obter mais informações, consulte "Habilitar alertas para dependências vulneráveis em GitHub Enterprise Server".

Quando GitHub Enterprise Server identifica uma dependência vulnerável, geramos um alerta de Dependabot e o exibimos na aba Segurança do repositório. O alerta inclui um link para o arquivo afetado no projeto, e informações sobre uma versão corrigida. GitHub Enterprise Server também notifica os mantenedores dos repositórios afetados sobre o novo alerta de acordo com suas preferências de notificação. Para obter mais informações, consulte "Configurar notificações para dependências vulneráveis".

Observação: Os recursos de segurança de GitHub Enterprise Server não reivindicam garantem que todas as vulnerabilidades sejam detectadas. Embora estejamos sempre tentando atualizar nosso banco de dados de vulnerabilidades e gerar alertas com nossas informações mais atualizadas. não seremos capazes de pegar tudo ou falar sobre vulnerabilidades conhecidas dentro de um período de tempo garantido. Esses recursos não substituem a revisão humana de cada dependência em busca de possíveis vulnerabilidades ou algum outro problema, e nossa sugestão é consultar um serviço de segurança ou realizar uma revisão completa de vulnerabilidade quando necessário.

Acesso a Dependabot

É possível ver todos os alertas que afetam um determinado projeto no gráfico de dependências do repositório.

Por padrão, notificamos as pessoas com permissões de administrador nos repositórios afetados sobre os novos Alertas do Dependabot.

Você pode escolher o método de entrega para notificações sobre Alertas do Dependabot em repositórios que você está inspecionando, bem como a frequência na qual as notificações são enviadas para você. Para obter mais informações, consulte "Configurar notificações para dependências vulneráveis."

Esse documento ajudou você?

Privacy policy

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.