Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
All products
Segurança do código

Esta versão do GitHub Enterprise foi descontinuada em 2023-03-15. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Visualizando e atualizando alertas do Dependabot

Neste artigo

Se o GitHub Enterprise Server descobrir dependências inseguras no seu projeto, você poderá visualizá-las na guia de alertas do Dependabot no seu repositório. Você pode atualizar seu projeto para resolver ou descartar o alerta.

Quem pode usar esse recurso

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

**Observação:** atualmente, as atualizações de versão e de segurança do Dependabot estão em versão beta pública e sujeitas a alterações.

Observação: o administrador do site precisa configurar as Dependabot updates do sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa".

A guia Dependabot alerts do repositório lista todos os Dependabot alerts abertos e fechados e as Dependabot security updates correspondentes. Você pode classificar a lista de alertas, além de poder clicar em alertas específicos para mais detalhes. Você também pode ignorar ou reabrir alertas. Para obter mais informações, confira "Sobre alertas do Dependabot".

Você pode habilitar atualizações automáticas de segurança para qualquer repositório que usa os Dependabot alerts e o grafo de dependência. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot".

Sobre atualizações para dependências vulneráveis no seu repositório

GitHub Enterprise Server gera Dependabot alerts quando detectamos que sua base de código está usando dependências com riscos de segurança conhecidos. Para repositórios em que Dependabot security updates estão habilitados, quando GitHub Enterprise Server detecta uma dependência vulnerável no branch padrão, Dependabot cria um pull request para corrigi-la. O pull request irá atualizar a dependência para a versão minimamente segura possível, o que é necessário para evitar a vulnerabilidade.

Cada alerta de Dependabot tem um identificador único de número e a aba de Dependabot alerts lista um alerta para cada vulnerabilidade detectada. O legado de Dependabot alerts agrupou as vulnerabilidades por dependência e gerou um único alerta por dependência. Se você acessar um alerta de legado Dependabot, você será redirecionado para uma aba de Dependabot alerts filtrada para esse pacote.

Exibir Dependabot alerts

  1. No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro. 1. Na barra lateral "Alertas de vulnerabilidade" da página "Visão geral de segurança", clique em Dependabot . Se essa opção está ausente, isso significa que você não tem acesso aos alertas de segurança e precisa receber o acesso. Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório". Captura de tela da página de visão geral de segurança, com a guia "Dependabot" realçada com um contorno laranja escuro.
  2. Clique no alerta que deseja exibir.

Revisão e correção de alertas

É importante garantir que todas as suas dependências estejam livres de quaisquer falhas de segurança. Quando Dependabot descobre vulnerabilidades descobre vulnerabilidades em suas dependências, você deve avaliar o nível de exposição do seu projeto e determinar quais etapas de correção devem ser tomadas para proteger seu aplicativo.

Se uma versão corrigida da dependência estiver disponível, você poderá gerar uma solicitação de pull Dependabot para atualizar essa dependência diretamente de um alerta Dependabot. Se a opção Dependabot security updates estiver habilitada, a solicitação de pull poderá ser vinculada ao alerta do Dependabot.

Nos casos em que uma versão corrigida não está disponível ou você não pode atualizar para a versão segura, Dependabot compartilha informações adicionais para ajudar você a determinar as próximas etapas. Ao clicar para visualizar um alerta Dependabot, você pode ver os detalhes completos do aviso de segurança para a dependência, incluindo as funções afetadas. Em seguida, você pode verificar se o código chama as funções afetadas. Essas informações podem ajudar a avaliar melhor o seu nível de risco e determinar soluções alternativas ou se você pode aceitar o risco representado pela conselho de segurança.

Corrigir dependências vulneráveis

  1. Exiba os detalhes de um alerta. Para obter mais informações, confira "Exibir Dependabot alerts" acima.

  2. Se você tiver a opção Dependabot security updates habilitada, poderá haver um link para uma solicitação de pull que corrigirá a dependência. Como alternativa, você pode clicar em Criar atualização de segurança Dependabot na parte superior da página de detalhes do alerta para criar uma solicitação de pull.

    Captura de tela de um alerta do Dependabot com o botão "Criar atualização de segurança do Dependabot" realçado com um contorno laranja escuro.

  3. Opcionalmente, se você não usar Dependabot security updates, poderá usar as informações na página para decidir para qual versão da dependência atualizar e criar uma solicitação de pull para atualizar a dependência para uma versão segura.

  4. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request.

    Cada solicitação de pull gerada pelo Dependabot inclui informações sobre os comandos que você pode usar para controlar o Dependabot. Para obter mais informações, confira "Gerenciar pull requests para atualizações de dependências".

Ignorar Dependabot alerts

Dica: você só pode ignorar alertas em aberto.

Se você agendar um trabalho extensivo para atualizar uma dependência ou decidir que um alerta não precisa ser corrigido, poderá ignorar o alerta. Ignorar alertas que você já avaliou facilita a triagem de novos alertas à medida que aparecem.

  1. Exiba os detalhes de um alerta. Para obter mais informações, confira "Exibir dependências vulneráveis" (acima).

  2. Selecione o menu suspenso "Ignorar" e clique em um motivo para ignorar o alerta.

    Captura de tela da página de um alerta do Dependabot, com a lista suspensa "Ignorar" e as opções realçadas com um contorno laranja escuro.

Revisão dos logs de auditoria do Dependabot alerts

Quando um membro da sua organização ou empresa executa uma ação relacionada ao Dependabot alerts, você pode examiná-las no log de auditoria. Para obter mais informações sobre como acessar o log, confira "Revisar o log de auditoria da organização" e "Como acessar o log de auditoria da sua empresa".

Os eventos no log de auditoria do Dependabot alerts incluem detalhes da ação, como quem a executou, qual foi executada e quando. Para obter informações sobre as ações do Dependabot alerts, confira a categoria repository_vulnerability_alert em "Revisar o log de auditoria da organização" e "Auditar eventos de log para sua empresa".