Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre as atualizações de segurança do Dependabot

Dependabot pode corrigir dependências vulneráveis para você, levantando pull requests com atualizações de segurança.

Note: Dependabot security and version updates are currently in public beta and subject to change.

Note: Your site administrator must set up Atualizações de Dependabot for your GitHub Enterprise Server instance before you can use this feature. Para obter mais informações, consulte "Habilitar Dependabot para a sua empresa."

Sobre o Atualizações de segurança do Dependabot

Atualizações de segurança do Dependabot torna mais fácil para você corrigir dependências vulneráveis no seu repositório. Se você habilitar este recurso, quando um alerta de Dependabot for criado para uma dependência vulnerável no gráfico de dependências do seu repositório, Dependabot tenta corrigir isso automaticamente. Para obter mais informações, consulte "Sobre Alertas do Dependabot" e "Configurando Atualizações de segurança do Dependabot".

GitHub pode enviar Alertas do Dependabot para repositórios afetados por uma vulnerabilidade revelada por uma consultoria de segurança de GitHub recentemente publicada. For more information about advisory data, see "Browsing security advisories in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

Dependabot verifica se é possível atualizar a dependência vulnerável para uma versão fixa sem comprometer o gráfico de dependências para o repositório. Em seguida, Dependabot levanta um pull request para atualizar a dependência para a versão mínima que inclui o patch e os links do pull request para o alerta de Dependabot ou relata um erro no alerta. Para obter mais informações, consulte "Solução de problemas de erros de Dependabot".

Observação

O recurso de Atualizações de segurança do Dependabot está disponível para repositórios nos quais você habilitou o gráfico de dependências e Alertas do Dependabot. Você verá um alerta de Dependabot para cada dependência vulnerável identificada no seu gráfico de dependências completas. No entanto, atualizações de segurança são acionadas apenas para dependências especificadas em um manifesto ou arquivo de bloqueio. Dependabot não consegue atualizar uma dependência indireta ou transitória que não esteja explicitamente definida. Para obter mais informações, consulte "Sobre o gráfico de dependência".

Você pode habilitar um recurso relacionado, Atualizações de versão do Dependabot, para que Dependabot abra pull requests para atualizar o manifesto para a última versão da dependência, sempre que detectar uma dependência desatualizada. Para obter mais informações, consulte "Sobre atualizações da versão de Dependabot".

Quando Dependabot abre pull requests, estes podem ser para atualizações de segurança ou versão:

  • Atualizações de segurança do Dependabot are automated pull requests that help you update dependencies with known vulnerabilities.
  • Atualizações de versão do Dependabot are automated pull requests that keep your dependencies updated, even when they don’t have any vulnerabilities. Para verificar o status das atualizações da versão, acesse a aba Insights do seu repositório e, em seguida, gráfico de dependência e Dependabot.

Sobre os pull requests para atualizações de segurança

Cada pull request contém tudo o que você precisa para revisar mesclar, de forma rápida e segura, uma correção proposta em seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Detalhes de quais vulnerabilidades são resolvidas por um pull request de qualquer pessoa que não tem acesso a Alertas do Dependabot para o repositório.

Ao fazer merge de um pull request que contém uma atualização de segurança, o alerta de Dependabot correspondente é marcado como resolvido no seu repositório. Para obter mais informações sobre pull requests de Dependabot, consulte "Gerenciar pull requests para atualizações de dependências".

Observação: É uma prática recomendada ter testes automatizados e processos de aceitação em vigor para que as verificações sejam realizadas antes do merge do pull request. Isso é especialmente importante se a versão sugerida a ser atualizada contiver funcionalidades adicionais ou se uma mudança que quebrar o código do seu projeto. Para obter mais informações sobre a integração contínua, consulte "Sobre integração contínua".

Sobre notificações para atualizações de segurança de Dependabot

Você pode filtrar suas notificações em GitHub para mostrar as atualizações de segurança de Dependabot. Para obter mais informações, consulte "Gerenciando notificações de sua caixa de entrada".