Skip to main content

Visualizando e atualizando alertas do Dependabot

Se o GitHub Enterprise Server descobrir dependências inseguras no seu projeto, você poderá visualizá-las na guia de alertas do Dependabot no seu repositório. Você pode atualizar seu projeto para resolver ou descartar o alerta.

Who can use this feature

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

Observação: o administrador do site precisa configurar as Dependabot updates do your GitHub Enterprise Server instance para que você possa usar esse recurso. Para obter mais informações, confira "Como habilitar o Dependabot para sua empresa".

A guia Dependabot alerts do repositório lista todos os Dependabot alerts abertos e fechados e as Dependabot security updates correspondentes. Você pode filtrar os alertas por pacote, ecossistema ou manifesto. Você pode classificar a lista de alertas, além de poder clicar em alertas específicos para mais detalhes. Você também pode ignorar ou reabrir alertas, um por um ou selecionando vários alertas ao mesmo tempo. Para obter mais informações, confira "Sobre Dependabot alerts."

Você pode habilitar atualizações automáticas de segurança para qualquer repositório que usa os Dependabot alerts e o grafo de dependência. Para obter mais informações, confira "Sobre as Dependabot security updates".

Sobre atualizações para dependências vulneráveis no seu repositório

GitHub Enterprise Server gera Dependabot alerts quando detectamos que sua base de código está usando dependências com riscos de segurança conhecidos. Para repositórios em que Dependabot security updates estão habilitados, quando GitHub Enterprise Server detecta uma dependência vulnerável no branch padrão, Dependabot cria um pull request para corrigi-la. O pull request irá atualizar a dependência para a versão minimamente segura possível, o que é necessário para evitar a vulnerabilidade.

Cada alerta de Dependabot tem um identificador único de número e a aba de Dependabot alerts lista um alerta para cada vulnerabilidade detectada. O legado de Dependabot alerts agrupou as vulnerabilidades por dependência e gerou um único alerta por dependência. Se você acessar um alerta de legado Dependabot, você será redirecionado para uma aba de Dependabot alerts filtrada para esse pacote.

Você pode filtrar e classificar Dependabot alerts usando uma variedade de filtros e opções de classificação disponíveis na interface do usuário. Para obter mais informações, confira "Como priorizar Dependabot alerts", abaixo.

Como priorizar Dependabot alerts

A GitHub ajuda você a priorizar a correção de Dependabot alerts. Por padrão, Dependabot alerts são classificados por importância. A ordem de classificação "Mais importante" ajuda você a priorizar em quais Dependabot alerts se concentrar primeiro. Os alertas são classificados com base no impacto potencial, capacidade de ação e relevância. Nosso cálculo de priorização está constantemente sendo aprimorado e inclui fatores como pontuação CVSS, escopo de dependência e se chamadas de função vulneráveis são encontradas no alerta.

Captura de tela da lista suspensa Classificar com a classificação "Mais importante" selecionada

Você pode classificar e filtrar Dependabot alerts digitando filtros como pares key:value na barra de pesquisa.

OpçãoDescriçãoExemplo
ecosystemExibe alertas para o ecossistema selecionadoUsar ecosystem:npm para mostrar Dependabot alerts para npm
hasExibe alertas atendendo aos critérios de filtro selecionadosUsar has:patch para mostrar alertas relacionados a avisos que têm um patch
isExibe alertas com base no estadoUsar is:open para mostrar alertas abertos
manifestExibe alertas para o manifesto selecionadoUsar manifest:webwolf/pom.xml para mostrar alertas no arquivo pom.xml do aplicativo webwolf
packageExibe alertas para o pacote selecionadoUsar package:django para mostrar alertas para o django
resolutionExibe alertas do status de resolução selecionadoUsar resolution:no-bandwidth para mostrar alertas estacionados anteriormente devido à falta de recursos ou de tempo para corrigi-los
repoExibe alertas com base no repositório ao qual eles se relacionam
Observe que esse filtro só está disponível na visão geral de segurança. Para obter mais informações, confira "Sobre a visão geral de segurança".
Usar repo:octocat-repo para mostrar alertas no repositório chamado octocat-repo
scopeExibe alertas com base no escopo da dependência à qual eles se relacionamUsar scope:development para mostrar alertas para dependências que são usadas somente durante o desenvolvimento
severityExibe alertas com base no nível de gravidadeUsar severity:high para mostrar alertas com nível de gravidade Alto
sortExibe alertas de acordo com a ordem de classificação selecionadaA opção de classificação padrão para alertas é sort:most-important, que classifica os alertas por importância
Usar sort:newest para mostrar os alertas mais recentes relatados por Dependabot

Além dos filtros disponíveis por meio da barra de pesquisa, você pode classificar e filtrar dados Dependabot alerts usando os menus suspensos na parte superior da lista de alertas. A barra de pesquisa também permite a pesquisa completa de texto de alertas e avisos de segurança relacionados. Você pode pesquisar parte de um nome de consultoria de segurança ou descrição para retornar os alertas em seu repositório relacionados a esse aviso de segurança. Por exemplo, a pesquisa yaml.load() API could execute arbitrary code retornará Dependabot alerts vinculados a "PyYAML desserializa de maneira insegura cadeias de caracteres YAML que levam à execução arbitrária do código" à medida que a cadeia de caracteres de pesquisa aparece na descrição do aviso.

 Captura de tela dos menus de filtro e classificação na guia de Dependabot alerts

Ecossistemas e manifestos com suporte para escopo de dependência

A tabela a seguir resume se há suporte para escopo de dependência em vários ecossistemas e manifestos, ou seja, se o Dependabot pode identificar se uma dependência é usada para desenvolvimento ou produção.

| Língua | Ecossistema | Arquivo de manifesto | Escopo de dependência com suporte | |:---|:---:|:---:|:---| | Ir | Módulos go | go.mod | Não, o padrão é executar | | Ir | Módulos go | go.sum | Não, o padrão é executar | | Java | Maven | pom.xml | ✔ test mapeia para o desenvolvimento, caso contrário, o escopo usa como padrão o runtime | | | JavaScript npm | | package.json ✔ | | | JavaScript npm | | package-lock.json ✔ | | | JavaScript yarn v1 | yarn.lock | Não, o padrão é executar | | | PHP Compositor | composer.json | ✔ | | | PHP Compositor | composer.lock | ✔ | | Python | | de poesia poetry.lock | ✔ | | Python | | de poesia | pyproject.toml ✔ | | Python | pip | requirements.txt | ✔ Escopo será desenvolvimento se o nome de arquivo contiver test ou dev, caso contrário, será runtime | | Python | pip | | pipfile.lock ✔ | | Python | pip | | pipfile ✔ | | Ruby | RubyGems | | gemfile ✔ | | Ruby | RubyGems | | Gemfile.lock Não, o padrão é executar | | Rust | | de carga | Cargo.toml ✔ | | Rust | | de carga | cargo.lock Não, o padrão é executar | | | YAML GitHub Actions | - | Não, o padrão é executar | | .NET (C#, F#, VB etc.) | NuGet | .csproj / .vbproj .vcxproj / .fsproj | Não, o padrão é executar | | | .NET | do NuGet packages.config | Não, o padrão é executar | | | .NET NuGet | .nuspec | ✔ Quando a marca != runtime |

Os alertas para pacotes listados como dependências de desenvolvimento são marcados com o rótulo Development na página Dependabot alerts e também estão disponíveis para filtragem por meio do filtro scope.

Captura de tela mostrando o rótulo "Desenvolvimento" na lista de alertas

A página de detalhes dos alertas em pacotes com escopo de desenvolvimento mostra uma seção "Tags" que contém um rótulo Development.

Captura de tela mostrando a seção "Tags" na página de detalhes do alerta

Exibir Dependabot alerts

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Guia Segurança 1. Na barra lateral de segurança, clique em Dependabot alerts . Se essa opção está ausente, isso significa que você não tem acesso aos alertas de segurança e precisa receber o acesso. Para obter mais informações, confira "Como gerenciar configurações de segurança e análise para seu repositório".Guia Dependabot alerts
  2. Opcionalmente, para filtrar alertas, selecione um filtro no menu suspenso e clique no filtro que deseja aplicar. Você também pode digitar filtros na barra de pesquisa. Para obter mais informações sobre filtragem e classificação de alertas, confira "Como priorizar Dependabot alerts". Captura de tela do filtro e dos menus de classificação na guia Dependabot alerts
  3. Clique no alerta que você deseja exibir. Alerta selecionado na lista de alertas

Revisão e correção de alertas

É importante garantir que todas as suas dependências estejam livres de quaisquer falhas de segurança. Quando Dependabot descobre vulnerabilidades descobre vulnerabilidades em suas dependências, você deve avaliar o nível de exposição do seu projeto e determinar quais etapas de correção devem ser tomadas para proteger seu aplicativo.

Se uma versão corrigida da dependência estiver disponível, você poderá gerar uma solicitação de pull Dependabot para atualizar essa dependência diretamente de um alerta Dependabot. Se você tiver a opção Dependabot security updates habilitada, a solicitação de pull poderá ser vinculada ao alerta do Dependabot.

Nos casos em que uma versão corrigida não está disponível ou você não pode atualizar para a versão segura, Dependabot compartilha informações adicionais para ajudar você a determinar as próximas etapas. Ao clicar para visualizar um alerta Dependabot, você pode ver os detalhes completos do aviso de segurança para a dependência, incluindo as funções afetadas. Em seguida, você pode verificar se o código chama as funções afetadas. Essas informações podem ajudar a avaliar melhor o seu nível de risco e determinar soluções alternativas ou se você pode aceitar o risco representado pela conselho de segurança.

Corrigir dependências vulneráveis

  1. Exiba os detalhes de um alerta. Para obter mais informações, confira "Exibir Dependabot alerts" acima.

  2. Se você tiver a opção Dependabot security updates habilitada, poderá haver um link para uma solicitação de pull que corrigirá a dependência. Como alternativa, você pode clicar em Criar atualização de segurança Dependabot na parte superior da página de detalhes do alerta para criar uma solicitação de pull. Botão Criar uma atualização de segurança do Dependabot

  3. Opcionalmente, se você não usar Dependabot security updates, poderá usar as informações na página para decidir para qual versão da dependência atualizar e criar uma solicitação de pull para atualizar a dependência para uma versão segura.

  4. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request.

    Cada solicitação de pull gerada pelo Dependabot inclui informações sobre os comandos que você pode usar para controlar o Dependabot. Para obter mais informações, confira "Como gerenciar solicitações de pull para atualizações de dependência".

Ignorar Dependabot alerts

Dica: você só pode ignorar alertas em aberto.

Se você agendar um trabalho extensivo para atualizar uma dependência ou decidir que um alerta não precisa ser corrigido, poderá ignorar o alerta. Ignorar alertas que você já avaliou facilita a triagem de novos alertas à medida que aparecem.

  1. Exiba os detalhes de um alerta. Para obter mais informações, confira "Exibir dependências vulneráveis" (acima).
  2. Selecione o menu suspenso "Ignorar" e clique em um motivo para ignorar o alerta. Os alertas ignorados não corrigidos poderão ser reabertos mais tarde. 1. Opcionalmente, adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode recuperar ou definir um comentário usando a API do GraphQL. O comentário está contido no campo dismissComment. Para obter mais informações, confira "Dependabot alerts" na documentação da API do GraphQL. Captura de tela mostrando como ignorar um alerta por meio do menu suspenso "Ignorar", com a opção de adicionar um comentário de ignorar
  3. Clique em Ignorar alerta.

Ignorar múltiplos alertas de uma vez

  1. Exibição dos Dependabot alerts em aberto. Para obter mais informações, confira "Exibir Dependabot alerts".
  2. Opcionalmente, filtre a lista de alertas selecionando um menu suspenso e clique no filtro que você deseja aplicar. Você também pode digitar filtros na barra de pesquisa.
  3. À esquerda de cada título de alerta, selecione os alertas que você deseja ignorar. Captura de tela de alertas abertos com caixas de seleção enfatizadas
  4. Opcionalmente, na parte superior da lista de alertas, selecione todos os alertas na página. Captura de tela de todos os alertas abertos selecionados
  5. Selecione a lista suspensa "Ignorar alertas" e clique em um motivo para ignorar os alertas. Captura de tela da página abrir alertas com a lista suspensa "Ignorar alertas" enfatizada

Visualizando e atualizando alertas fechados

Você pode visualizar todos os alertas abertos e reabrir alertas que foram descartados anteriormente. Alertas fechados que já foram corrigidos não poderão ser reabertos.

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Guia Segurança 1. Na barra lateral de segurança, clique em Dependabot alerts . Se essa opção está ausente, isso significa que você não tem acesso aos alertas de segurança e precisa receber o acesso. Para obter mais informações, confira "Como gerenciar configurações de segurança e análise para seu repositório".Guia Dependabot alerts

  2. Para ver apenas os alertas fechados, clique em Fechados. Captura de tela mostrando a opção "Fechado"

  3. Clique no alerta que deseja ver ou atualizar. Captura de tela mostrando um alerta dependabot destacado

  4. Opcionalmente, se o alerta foi ignorado e você deseja reabri-lo, clique em Reabrir. Alertas que já foram corrigidos não poderão ser reabertos.

    Captura de tela mostrando o botão "Reabrir"

Reabrir múltiplos alertas de uma vez

  1. Exibir os Dependabot alerts fechados. Para obter mais informações, confira "Exibir e atualizar alertas fechados" (acima).
  2. À esquerda de cada título de alerta, selecione os alertas que você deseja reabrir. Captura de tela de alertas fechados com caixas de seleção enfatizadas
  3. Opcionalmente, na parte superior da lista de alertas, selecione todos os alertas fechados na página. Captura de tela de alertas fechados com todos os alertas selecionados
  4. Clique em Reabrir para reabrir os alertas. Alertas que já foram corrigidos não poderão ser reabertos. Captura de tela dos alertas fechados com o botão "Reabrir" enfatizado

Revisão dos logs de auditoria do Dependabot alerts

Quando um membro da sua organização ou empresa executa uma ação relacionada ao Dependabot alerts, você pode examiná-las no log de auditoria. Para obter mais informações sobre como acessar o log, confira "Como examinar o log de auditoria da sua organização" e "Como ecessar o log de auditoria da sua empresa."

Os eventos no log de auditoria do Dependabot alerts incluem detalhes da ação, como quem a executou, qual foi executada e quando. Para obter informações sobre as ações das ações do Dependabot alerts, confira a categoria repository_vulnerability_alert em "Como examinar o log de auditoria da sua organização" and "Eventos de log de auditoria da sua empresa."