Alertas do Dependabot alerts para dependências vulneráveis
Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque.
O Dependabot verifica o código quando um novo aviso é adicionado ao GitHub Advisory Database ou ao grafo de dependência para alterações de repositório. Quando dependências vulneráveis forem detectadas, os Dependabot alerts serão gerados. Para obter mais informações, confira "Sobre alertas do Dependabot".
Se você habilitou as Dependabot security updates para seu repositório, o alerta também pode conter um link para uma pull request a fim de atualizar o manifesto ou bloquear o arquivo para a versão mínima que resolve a vulnerabilidade. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot".
Para habilitar ou desabilitar Dependabot alerts para:
- Sua conta pessoal
- Seu repositório
- Sua organização
- Sua empresa
Além disso, você pode usar Regras de triagem automática do Dependabot para gerenciar seus alertas em escala para que você possa ignorar os alertas automaticamente ou colocá-los em ociosidade e especificar para quais alertas deseja que o Dependabot abra pull requests. Para obter informações sobre os diferentes tipos de regras de triagem automática e se seus repositórios são qualificados, consulte "AUTOTITLE".
Gerenciamento de Dependabot alerts para sua conta pessoal
Os Dependabot alerts para seus repositórios podem ser habilitados ou desabilitados pelo proprietário da empresa. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa".
Gerenciamento de Dependabot alerts para seu repositório
Você pode gerenciar Dependabot alerts em seu repositório público, privado ou interno.
Por padrão, notificamos as pessoas com permissões de gravação, manutenção e administração nos repositórios afetados sobre novos Dependabot alerts. O GitHub Enterprise Server nunca divulga publicamente as dependências não seguras de nenhum repositório. Também é possível tornar o Dependabot alerts visível para pessoas ou equipes adicionais que trabalham com repositórios que você possui ou para os quais tem permissões de administrador.
Um proprietário da empresa deve primeiro configurar o Dependabot para ela antes de permitir o gerenciamento de Dependabot alerts para o repositório. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa".
Habilitar ou desabilitar Dependabot alerts em um repositório
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", à direita do Dependabot alerts, clique em Habilitar para habilitar alertas ou Desabilitar para desabilitar alertas.
Gerenciamento de Dependabot alerts para sua organização
Você pode habilitar ou desabilitar Dependabot alerts para alguns ou todos os repositórios pertencentes à sua organização. Para obter mais informações sobre como habilitar recursos de segurança em uma organização, confira "Guia de início rápido da proteção da sua organização."
Um proprietário da empresa deve primeiro configurar o Dependabot para ela antes de permitir o gerenciamento de Dependabot alerts para o repositório. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa".
Habilitar ou desabilitar Dependabot alerts em todos os repositórios existentes
Use a visão geral de segurança para encontrar um conjunto de repositórios e habilitar ou desabilitar os Dependabot alerts para todos eles ao mesmo tempo. Para obter mais informações, confira "Como habilitar recursos de segurança para vários repositórios".
Você também pode usar a página de configurações da organização para "Segurança e análise de código" para ativar ou desativar Dependabot alerts para todos os repositórios existentes em uma organização.
- No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
- Ao lado da organização, clique em Configurações.
- Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
- Em "Segurança e análise de código", à direita de Dependabot alerts, clique em Desabilitar tudo ou Habilitar tudo.
- Opcionalmente, para habilitar Dependabot alerts por padrão para novos repositórios em sua organização, na caixa de diálogo, selecione "Habilitar por padrão para novos repositórios".
- Clique em Desabilitar Dependabot alerts ou Habilitar Dependabot alerts para desabilitar ou habilitar Dependabot alerts para todos os repositórios da sua organização.
Gerenciar Dependabot alerts para sua empresa
Você pode habilitar ou desabilitar Dependabot alerts para todos os repositórios atuais e futuros pertencentes à sua organização na sua empresa. Suas alterações afetam todos os repositórios.
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança e análise de código.
-
Na seção "Dependabot", à direita de Dependabot alerts, clique em Desabilitar tudo ou Habilitar tudo.
-
Opcionalmente, selecione Habilitar automaticamente para novos repositórios habilitar Dependabot alerts por padrão para os novos repositórios da organização.