Sobre as atualizações de segurança do Dependabot

Sobre as Dependabot security updates

Dependabot security updates torna mais fácil para você corrigir dependências vulneráveis no seu repositório. Se você habilitar este recurso, quando um alerta de Dependabot for criado para uma dependência vulnerável no gráfico de dependências do seu repositório, Dependabot tenta corrigir isso automaticamente. Para obter mais informações, confira "Sobre alertas do Dependabot" e "Configurando as atualizações de segurança do Dependabot."

GitHub pode enviar Dependabot alerts para repositórios afetados por uma vulnerabilidade revelada por uma consultoria de segurança de GitHub recentemente publicada. Para obter mais informações, confira "Como procurar avisos de segurança no GitHub Advisory Database".

Dependabot verifica se é possível atualizar a dependência vulnerável para uma versão fixa sem comprometer o gráfico de dependências para o repositório. Em seguida, Dependabot levanta um pull request para atualizar a dependência para a versão mínima que inclui o patch e os links do pull request para o alerta de Dependabot ou relata um erro no alerta. Para obter mais informações, confira "Solução de problemas do Dependabot".

O recurso de Dependabot security updates está disponível para repositórios nos quais você habilitou o gráfico de dependências e Dependabot alerts. Você verá um alerta de Dependabot para cada dependência vulnerável identificada no seu gráfico de dependências completas. No entanto, atualizações de segurança são acionadas apenas para dependências especificadas em um manifesto ou arquivo de bloqueio. Para obter mais informações, confira "Sobre o gráfico de dependências".

Você pode habilitar um recurso relacionado, Dependabot version updates, para que Dependabot abra pull requests para atualizar o manifesto para a última versão da dependência, sempre que detectar uma dependência desatualizada. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".

Quando o Dependabot gera solicitações de pull, essas solicitações de pull podem ser referentes a atualizações de segurança ou de versão:

• As Dependabot security updates são solicitações de pull automatizadas que ajudam você a atualizar as dependências com vulnerabilidades conhecidas.
• As Dependabot version updates são solicitações de pull automatizadas que mantêm suas dependências atualizadas, mesmo quando elas não têm nenhuma vulnerabilidade. Para verificar o status das atualizações da versão, acesse a aba Insights do seu repositório e, em seguida, gráfico de dependência e Dependabot.

O GitHub Actions não necessário para que Dependabot version updates e Dependabot security updates sejam executadas no GitHub Enterprise Server. Antes de habilitar o Dependabot updates, configure a sua instância do GitHub Enterprise Server para usar o GitHub Actions com executores auto-hospedados. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa."

Sobre os pull requests para atualizações de segurança

Cada pull request contém tudo o que você precisa para revisar mesclar, de forma rápida e segura, uma correção proposta em seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Detalhes de quais vulnerabilidades são resolvidas por um pull request de qualquer pessoa que não tem acesso a Dependabot alerts para o repositório.

Ao fazer merge de um pull request que contém uma atualização de segurança, o alerta de Dependabot correspondente é marcado como resolvido no seu repositório. Para saber mais sobre solicitações de pull Dependabot, confira "Gerenciar pull requests para atualizações de dependências".

Sobre notificações para atualizações de segurança de Dependabot

Você pode filtrar suas notificações em GitHub para mostrar as atualizações de segurança de Dependabot. Para obter mais informações, confira "Gerenciamento de notificações da sua caixa de entrada".