Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Visualizando e atualizando alertas do Dependabot

Se GitHub Enterprise Server descobrir dependências inseguras em seu projeto, é possível visualizar detalhes na guia de alertas do Dependabot de seu repositório. Em seguida, você pode atualizar seu projeto para resolver ou ignorar o alerta.

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.

Note: Your site administrator must set up Atualizações de Dependabot for your GitHub Enterprise Server instance before you can use this feature. Para obter mais informações, consulte "Habilitar Dependabot para a sua empresa."

A aba de Alertas do Dependabot do seu repositório lista todos os Alertas do Dependabot abertos e fechados correspondentes a Atualizações de segurança do Dependabot. Você pode classificar a lista de alertas, e você pode clicar em alertas específicos para mais detalhes. Você também pode ignorar ou reabrir alertas. Para obter mais informações, consulte "Sobre o Alertas do Dependabot.

É possível habilitar atualizações de segurança automáticas para qualquer repositório que usa o Alertas do Dependabot e o gráfico de dependências. Para obter mais informações, consulte "Sobre Atualizações de segurança do Dependabot."

Sobre atualizações para dependências vulneráveis no seu repositório

GitHub Enterprise Server gera Alertas do Dependabot quando detectamos que sua base de código está usando dependências com riscos de segurança conhecidos. Para repositórios em que Atualizações de segurança do Dependabot estão habilitados, quando GitHub Enterprise Server detecta uma dependência vulnerável no branch padrão, Dependabot cria um pull request para corrigi-la. O pull request irá atualizar a dependência para a versão minimamente segura possível, o que é necessário para evitar a vulnerabilidade.

Visualizando Alertas do Dependabot

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança. Guia de segurança
  3. Na barra lateral de segurança, clique em Alertas do Dependabot. If this option is missing, it means you don't have access to security alerts and need to be given access. For more information, see "Managing security and analysis settings for your repository."Alertas do Dependabot tab
  4. Clique no alerta que deseja exibir. Alerta selecionado na lista de alertas

Revisando e corrigindo alertas

É importante garantir que todas as suas dependências estejam limpas de qualquer fraqueza de segurança. Quando Dependabot descobrir vulnerabilidades em suas dependências, você deve avaliar o nível de exposição do seu projeto e determinar quais medidas de correção devem ser tomadas para proteger seu aplicativo.

Se uma versão alterada da dependência estiver disponível, é possível gerar um pull request de Dependabot para atualizar essa dependência diretamente de um alerta do Dependabot. Se você tiver Atualizações de segurança do Dependabot habilitado, o pull request poderá estar vinculado ao alerta do Dependabot.

Nos casos em que uma versão alterada não está disponível ou em que você não puder atualizar para a versão segura, Dependabot irá compartilhar informações adicionais para ajudar você a determinar as próximas etapas. Ao clicar para ver um alerta de Dependabot, você pode ver todos os detalhes da consultoria de segurança para a dependência, incluindo as funções afetadas. Você pode então verificar se seu código chama as funções afetadas. Essa informação pode ajudar você a avaliar seu nível de risco e determinar soluções alternativas ou se você pode aceitar o risco representado pela consultoria de segurança.

Corrigir dependências vulneráveis

  1. Ver detalhes de um alerta. Para obter mais informações, consulte "Visualizando Alertas do Dependabot" (acima).

  2. Se você tiver Atualizações de segurança do Dependabot habilitado, é possível que haja um link para um pull request que irá corrigir a dependência. Como alternativa, você pode clicar em Criar Dependabot atualização de segurança na parte superior da página de detalhes do alerta para criar um pull request. Create Dependabot security update button

  3. Opcionalmente, se você não usar Atualizações de segurança do Dependabot, você pode usar as informações na página para decidir para qual versão de dependência atualizar e criar um pull request para atualizar a dependência de uma versão segura.

  4. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request.

    Cada pull request criado por Dependabot inclui informações sobre os comandos que você pode usar para controlar Dependabot. Para obter mais informações, consulte "Gerenciar pull requests para atualizações de dependências".

Ignorando Alertas do Dependabot

Dica: Você só pode ignorar alertas abertos.

Se você agendar um extenso trabalho para atualizar uma dependência ou decidir que um alerta não precisa ser corrigido, você poderá ignorar o alerta. Ignorando alertas que você já avaliou facilita a triagem de novos alertas conforme eles aparecem.

  1. Ver detalhes de um alerta. Para obter mais informações, consulte "Visualizando dependências vulneráveis" (acima).
  2. Selecione o menu suspenso "Ignorar" e clique em um motivo para ignorar o alerta. Escolher o motivo para ignorar o alerta a partir do menu suspenso "Ignorar"down