Skip to main content

Sobre alertas do Dependabot

O GitHub Enterprise Server envia Dependabot alerts quando detectamos que seu repositório utiliza uma dependência vulnerável.

Quem pode usar esse recurso?

Dependabot alerts são gratuitos para uso em repositórios (user-owned and organization-owned) em GitHub Enterprise Server, desde que os administradores corporativos habilitem o recurso para sua empresa.

Sobre Dependabot alerts

Os Dependabot alerts informam que o código depende de um pacote que não é seguro.

Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, isso pode causar uma série de problemas para o projeto ou para as pessoas que o usam. Você deve atualizar o pacote para uma versão segura o quanto antes. Se o código usar malware, você precisará substituir o pacote por uma alternativa segura.

O Dependabot não gera Dependabot alerts para malwares. Para obter mais informações, confira "Sobre o banco de dados de avisos do GitHub".

Para obter uma visão geral dos diferentes recursos oferecidos pelo Dependabot e instruções sobre como começar, confira "Guia de início rápido do Dependabot".

Detecção de dependências não seguras

O Dependabot faz uma verificação da ramificação padrão do seu repositório para detectar dependências não seguras e envia Dependabot alerts quando:

  • Os novos dados de aviso são sincronizados do GitHub.com com o sua instância do GitHub Enterprise Server por hora. Para obter mais informações, confira "Como procurar avisos de segurança no GitHub Advisory Database".

    Observação: apenas as consultorias que foram revisadas pelo GitHub vão disparar Dependabot alerts.

  • Quanto o grafo de dependência de um repositório é alterado. Por exemplo, quando um colaborador efetua push de um commit para alterar os pacotes ou as versões dependentes. Para obter mais informações, confira "Sobre o gráfico de dependências".

Observação: Dependabot não examina repositórios arquivados.

Além disso, GitHub pode revisar todas as dependências adicionadas, atualizadas ou removidas em uma solicitação de pull feita para a ramificação padrão de um repositório e sinalizar quaisquer alterações que introduziriam uma vulnerabilidade no seu projeto. Isso permite que você identifique e lide com dependências vulneráveis antes, e não depois, de elas alcançarem a base de código. Para obter mais informações, confira "Revendo alterações de dependência em um pull request".

Como Dependabot alerts depende do gráfico de dependência, os ecossistemas com suporte de Dependabot alerts são os mesmos com suporte do grafo de dependência. Para obter uma lista desses ecossistemas, confira "Sobre o gráfico de dependências".

Observação: é importante manter seus arquivos de manifesto e de bloqueio atualizados. Se o grafo de dependência não refletir corretamente as dependências e versões atuais, você poderá perder alertas sobre dependências não seguras que forem usadas. Você também pode receber alertas de dependências que você já não usa.

O Dependabot criará apenas Dependabot alerts para GitHub Actions vulneráveis que usam controle de versão semântico. Você não receberá alertas sobre uma ação vulnerável que usa o controle de versão SHA. Se você usar GitHub Actions com o controle de versão SHA, recomendamos habilitar Dependabot version updates para que seu repositório ou organização mantenha as ações que você usa atualizadas com as versões mais recentes.

Configuração de Dependabot alerts

Os proprietários de empresa devem habilitar Dependabot alerts para o sua instância do GitHub Enterprise Server antes de usar esse recurso. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa".

Quando o GitHub Enterprise Server identifica uma dependência vulnerável, geramos um alerta do Dependabot e o exibimos na guia Segurança do repositório e no grafo de dependência do repositório. O alerta inclui um link para o arquivo afetado no projeto, e informações sobre uma versão corrigida.

O GitHub Enterprise Server também pode notificar os mantenedores dos repositórios afetados sobre novos alertas de acordo com as preferências de notificação. Para saber mais, confira "Configurando notificações para alertas do Dependabot".

Se você habilitou as Dependabot security updates para seu repositório, o alerta também pode conter um link para uma pull request a fim de atualizar o manifesto ou bloquear o arquivo para a versão mínima que resolve a vulnerabilidade. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot".

Observação: os recursos de segurança do GitHub Enterprise Server não garantem que todas as vulnerabilidades sejam detectadas. Mantemos ativamente um GitHub Advisory Database e geramos alertas com as informações mais atualizadas. No entanto, não podemos capturar tudo nem informar sobre vulnerabilidades conhecidas em um período garantido. Esses recursos não substituem a análise humana de cada dependência em busca de possíveis vulnerabilidades ou outros problemas. Portanto, recomendamos que você busque serviços de segurança ou realize uma análise de dependências completa sempre que necessário.

Acesso a Dependabot alerts

É possível ver todos os alertas que afetam determinado projeto no grafo de dependência do repositório. Para obter mais informações, confira "Visualizando e atualizando alertas do Dependabot".

Por padrão, notificaremos as pessoas com permissões de administrador gravação, manter ou nos repositórios afetados sobre os novos Dependabot alerts.

Para receber notificações sobre os Dependabot alerts nos repositórios, inspecione esses repositórios e inscreva-se para receber notificações de "Todas as Atividades" ou defina configurações personalizadas para incluir "Alertas de segurança". Para obter mais informações, confira "Configurar notificações". Você pode escolher o método de entrega para as notificações, bem como a frequência com que elas são enviadas a você. Para obter mais informações, confira "Configurando notificações para alertas do Dependabot".

Você também pode ver todos os Dependabot alerts que correspondem a uma vulnerabilidade específica no GitHub Advisory Database. Para obter mais informações, confira "Como procurar avisos de segurança no GitHub Advisory Database".

Leitura adicional