Skip to main content

Sobre as atualizações de segurança do Dependabot

Dependabot pode corrigir dependências vulneráveis para você, levantando pull requests com atualizações de segurança.

As Dependabot security updates são gratuitas para uso em repositórios (de propriedade do usuário e da organização) no GitHub Enterprise Server, desde que os administradores corporativos habilitem o recurso para sua empresa.

Observação: o administrador do site precisa configurar as Dependabot updates do your GitHub Enterprise Server instance para que você possa usar esse recurso. Para obter mais informações, confira "Como habilitar o Dependabot para sua empresa".

Sobre as Dependabot security updates

Dependabot security updates torna mais fácil para você corrigir dependências vulneráveis no seu repositório. Se você habilitar este recurso, quando um alerta de Dependabot for criado para uma dependência vulnerável no gráfico de dependências do seu repositório, Dependabot tenta corrigir isso automaticamente. Para obter mais informações, confira "Sobre os Dependabot alerts" e "Sobre as Dependabot security updates".

GitHub pode enviar Dependabot alerts para repositórios afetados por uma vulnerabilidade revelada por uma consultoria de segurança de GitHub recentemente publicada. Para obter mais informações, confira "Procurar avisos de segurança no GitHub Advisory Database".

Dependabot verifica se é possível atualizar a dependência vulnerável para uma versão fixa sem comprometer o gráfico de dependências para o repositório. Em seguida, Dependabot levanta um pull request para atualizar a dependência para a versão mínima que inclui o patch e os links do pull request para o alerta de Dependabot ou relata um erro no alerta. Para obter mais informações, confira "Solução de problemas de erros do Dependabot".

O recurso de Dependabot security updates está disponível para repositórios nos quais você habilitou o gráfico de dependências e Dependabot alerts. Você verá um alerta de Dependabot para cada dependência vulnerável identificada no seu gráfico de dependências completas. No entanto, atualizações de segurança são acionadas apenas para dependências especificadas em um manifesto ou arquivo de bloqueio. Para obter mais informações, confira "Sobre o grafo de dependência".

Observação: para o npm, o Dependabot gerará uma solicitação de pull a fim de atualizar uma dependência definida explicitamente para uma versão segura, mesmo que isso signifique atualizar a(s) dependência(s) pai. Para outros ecossistemas, Dependabot não poderá atualizar uma dependência indireta ou transitiva se isso também exigir uma atualização na dependência pai. Para saber mais, confira "O Dependabot tenta atualizar as dependências sem um alerta".

Você pode habilitar um recurso relacionado, Dependabot version updates, para que Dependabot abra pull requests para atualizar o manifesto para a última versão da dependência, sempre que detectar uma dependência desatualizada. Para obter mais informações, confira "Sobre as Dependabot".

Quando o Dependabot gera solicitações de pull, essas solicitações de pull podem ser referentes a atualizações de segurança ou de versão:

  • As Dependabot security updates são solicitações de pull automatizadas que ajudam você a atualizar as dependências com vulnerabilidades conhecidas.
  • As Dependabot version updates são solicitações de pull automatizadas que mantêm suas dependências atualizadas, mesmo quando elas não têm nenhuma vulnerabilidade. Para verificar o status das atualizações da versão, acesse a aba Insights do seu repositório e, em seguida, gráfico de dependência e Dependabot.

O GitHub Actions não necessário para que Dependabot version updates e Dependabot security updates sejam executadas no GitHub Enterprise Server. Antes de habilitar o Dependabot updates, configure a your GitHub Enterprise Server instance para usar o GitHub Actions com executores auto-hospedados. Para obter mais informações, confira "Como habilitar o Dependabot para sua empresa".

Sobre os pull requests para atualizações de segurança

Cada pull request contém tudo o que você precisa para revisar mesclar, de forma rápida e segura, uma correção proposta em seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Detalhes de quais vulnerabilidades são resolvidas por um pull request de qualquer pessoa que não tem acesso a Dependabot alerts para o repositório.

Ao fazer merge de um pull request que contém uma atualização de segurança, o alerta de Dependabot correspondente é marcado como resolvido no seu repositório. Para obter mais informações sobre as solicitações de pull do Dependabot, confira "Como gerenciar as solicitações de pull para atualizações de dependência".

Observação: é uma prática recomendada ter testes automatizados e processos de aceitação em vigor para que as verificações sejam realizadas antes do merge da solicitação de pull. Isso é especialmente importante se a versão sugerida a ser atualizada contiver funcionalidades adicionais ou se uma mudança que quebrar o código do seu projeto. Para obter mais informações sobre a integração contínua, confira "Sobre a integração contínua".

Sobre notificações para atualizações de segurança de Dependabot

Você pode filtrar suas notificações em GitHub para mostrar as atualizações de segurança de Dependabot. Para obter mais informações, confira "Como gerenciar notificações na sua caixa de entrada".