Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Configurar atualizações de segurança do Dependabot

Você pode usar Atualizações de segurança do Dependabot ou pull requests manuais para atualizar facilmente dependências vulneráveis.

Note: Dependabot security and version updates are currently in public beta and subject to change.

Note: Your site administrator must set up Atualizações de Dependabot for your GitHub Enterprise Server instance before you can use this feature. Para obter mais informações, consulte "Habilitar Dependabot para a sua empresa."

Sobre a configuração de Atualizações de segurança do Dependabot

É possível habilitar o Atualizações de segurança do Dependabot para qualquer repositório que use Alertas do Dependabot e o gráfico de dependências. Para obter mais informações, consulte "Sobre Atualizações de segurança do Dependabot."

Você pode desabilitar Atualizações de segurança do Dependabot para um repositório individual ou para todos os repositórios pertencentes à sua conta pessoal ou organização. Para obter mais informações, consulte "Gerenciar o Atualizações de segurança do Dependabot para seus repositórios abaixo".

Repositórios compatíveis

O GitHub habilita automaticamente o Atualizações de segurança do Dependabot para cada repositório que atende a estes pré-requisitos.

Observação: Você pode habilitar manualmente Atualizações de segurança do Dependabot, mesmo que o repositório não atenda a alguns dos pré-requisitos abaixo. Por exemplo, você pode habilitar Atualizações de segurança do Dependabot em uma bifurcação, ou para um gerenciador de pacotes que não é suportado diretamente seguindo as instruções em "Gerenciar Atualizações de segurança do Dependabot para seus repositórios. "

Pré-requisito de habilitação automáticaMais informações
O repositório não é uma bifurcação"Sobre bifurcações"
Repositório não está arquivado"Arquivar repositórios"
O repositório contém o arquivo de manifesto de dependência de um ecossistema de pacote compatível com o GitHub"Ecossistemas de pacotes compatíveis"
Atualizações de segurança do Dependabot não estão desativadas para o repositório"Gerenciar Atualizações de segurança do Dependabot para o seu repositório"

Se as atualizações de segurança não estiverem habilitadas para o seu repositório e você não souber o motivo, primeiro tente habilitá-las utilizando as instruções fornecidas nas seções de procedimento abaixo. Se atualizações de segurança ainda não funcionarem, você pode entrar em contato com your site administrator.

Gerenciar Atualizações de segurança do Dependabot para seus repositórios

Você pode habilitar ou desabilitar Atualizações de segurança do Dependabot para um repositório individual (veja abaixo).

Você também pode habilitar ou desabilitar Atualizações de segurança do Dependabot para todos os repositórios pertencentes à sua conta pessoal ou organização. Para mais informações consulte "Gerenciar as configurações de segurança e análise da sua conta pessoal" ou "Gerenciar as configurações de segurança e análise da sua organização".

O Atualizações de segurança do Dependabot exige configurações específicas do repositório. Para obter mais informações, consulte "Repositórios compatíveis".

Habilitar ou desabilitar Atualizações de segurança do Dependabot para um repositório individual

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório.

  2. No nome do seu repositório, clique em Configurações. Botão de configurações do repositório

  3. Na barra lateral esquerda, clique em Security & analysis (Segurança e análise). aba de "Segurança & análise" nas configurações do repositório

  4. Em "Segurança e análise de código", à direita de "atualizações de segurança de Dependabot", clique em Habilitar para habilitar o recurso ou Desabilitar para desabilitá-lo. Screenshot of "Code security and analysis" section with button to enable Atualizações de segurança do Dependabot

Substituindo o comportamento padrão por um arquivo de configuração

Você pode substituir o comportamento padrão de Atualizações de segurança do Dependabot adicionando um arquivo dependabot.yml ao seu repositório. Para obter mais informações, consulte "Opções de configuração para o arquivo dependabot.yml".

Se você precisa apenas de atualizações de segurança e deseja excluir as atualizações de versão, você pode definir open-pull-request-limit como 0 a fim de evitar atualizações da versão de um determinado package-ecosystem. Para obter mais informações, consulte "open-pull-request-limite".

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

Para obter mais informações sobre as opções de configuração disponíveis para atualizações de segurança, consulte a tabela em "Opções de configuração para o arquivo dependabot.yml".

Leia mais