Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Configurar atualizações de segurança do Dependabot do GitHub

Você pode usar Atualizações de segurança do GitHub Dependabot ou pull requests manuais para atualizar facilmente dependências vulneráveis.

Neste artigo

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.

Sobre o Atualizações de segurança do GitHub Dependabot

O Dependabot monitora as consultorias de segurança, como o Banco de Dados Consultivo GitHub e o WhiteSource e aciona automaticamente um pull request quando detecta uma nova dependência vulnerável no gráfico de dependências dos repositórios. Para obter mais informações sobre o Banco de Dados Consultivo GitHub, consulte "Sobre o Banco de Dados Consultivo GitHub".

O pull request irá atualizar a dependência para a versão minimamente segura possível, o que é necessário para evitar a vulnerabilidade.

Observação: É uma prática recomendada ter testes automatizados e processos de aceitação em vigor para que as verificações sejam realizadas antes do merge do pull request. Isso é especialmente importante se a versão sugerida a ser atualizada contiver funcionalidades adicionais ou se uma mudança que quebrar o código do seu projeto. Para obter mais informações sobre a integração contínua, consulte "Sobre integração contínua".

Dependabot inclui um link para um pull request no alerta para a dependência vulnerável. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis" e "Sobre o gráfico de dependências".

Cada atualização de segurança contém tudo o que você precisa para revisar e mesclar, de forma rápida e segura, uma correção proposta no seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Detalhes de quais vulnerabilidades são resolvidas por um pull request de qualquer pessoa que não tem acesso aos alertas do Dependabot para o repositório.

Ao mesclar um pull request que contém uma atualização de segurança, o alerta correspondente será marcado como resolvido no seu repositório.

Observação Atualizações de segurança do GitHub Dependabot resolve apenas vulnerabilidades de segurança nas dependências rastreadas pelo seu gráfico de dependências. As atualizações de segurança não são criadas para resolver vulnerabilidades em registros privados ou pacotes hospedados em repositórios privados. No entanto, as dependências indiretas ou transitórias são incluídas se forem definidas explicitamente em um arquivo bloqueado ou similar. Para obter mais informações, consulte "Sobre o gráfico de dependência". Além disso, é importante destacar que o Atualizações de segurança do GitHub Dependabot cria automaticamente pull requests com correções propostas para os arquivos bloqueados, para as dependências identificadas como vulneráveis.

É possível habilitar o Atualizações de segurança do GitHub Dependabot para qualquer repositório que use alertas de Dependabot e o gráfico de dependências. Você pode desativar as Atualizações de segurança do GitHub Dependabot em um repositório individual ou para todos os repositórios que pertencem à sua conta de usuário ou organização. Para obter mais informações, consulte "Gerenciar o Atualizações de segurança do GitHub Dependabot para seus repositórios abaixo".

GitHub Dependabot e todos os recursos relacionados estão cobertos pelos Termos de Serviço de GitHub.

Repositórios compatíveis

O GitHub habilita automaticamente o Atualizações de segurança do GitHub Dependabot para cada repositório que atende a estes pré-requisitos.

Observação: Você pode habilitar manualmente Atualizações de segurança do GitHub Dependabot, mesmo que o repositório não atenda a alguns dos pré-requisitos abaixo. Por exemplo, você pode habilitar Atualizações de segurança do GitHub Dependabot em uma bifurcação, ou para um gerenciador de pacotes que não é suportado diretamente seguindo as instruções em "Gerenciar Atualizações de segurança do GitHub Dependabot para seus repositórios. "

Pré-requisito de habilitação automáticaMais informações
O repositório não é uma bifurcação"Sobre bifurcações"
Repositório não está arquivado"Arquivar repositórios"
O repositório é público ou o repositório é privado e você ativou a análise somente leitura por GitHub, dependência gráfico e alertas de vulnerabilidade nas configurações do repositório"Gerenciar configurações de uso de dados para seu repositório privado".
O repositório contém o arquivo de manifesto de dependência de um ecossistema de pacote compatível com o GitHub"Ecossistemas de pacotes compatíveis"
Atualizações de segurança do GitHub Dependabot não estão desativadas para o repositório"Gerenciar Atualizações de segurança do GitHub Dependabot para o seu repositório"
O repositório já não está utilizando uma integração para o gerenciamento de dependências"Sobre integrações"

Se as atualizações de segurança não estiverem habilitadas para o seu repositório e você não souber o motivo, primeiro tente habilitá-las utilizando as instruções fornecidas nas seções de procedimento abaixo. Se, ainda assim, as atualizações de segurança não funcionarem, você poderá entrar em contato com o suporte.

Sobre pontuações de compatibilidade

O Atualizações de segurança do GitHub Dependabot também inclui uma pontuação de compatibilidade para que você saiba se atualizar uma vulnerabilidade pode causar alterações significativas no seu projeto. Analisamos os testes de CI de execução anteriores a partir de repositórios públicos onde geramos uma determinada atualização de segurança para saber se a atualização faz com que ocorra uma falha nos testes. Uma pontuação de compatibilidade da atualização é a porcentagem de execuções de CI que foram aprovadas durante a atualização entre versões relevantes da dependência.

Gerenciar Atualizações de segurança do GitHub Dependabot para seus repositórios

Você pode habilitar ou desabilitar Atualizações de segurança do GitHub Dependabot em um repositório individual.

Você também pode habilitar ou desabilitar Atualizações de segurança do GitHub Dependabot para todos os repositórios pertencentes à sua conta de usuário ou organização. Para mais informações consulte "Gerenciar as configurações de segurança e análise da sua conta de usuário" ou "Gerenciar as configurações de segurança e análise da sua organização".

O Atualizações de segurança do GitHub Dependabot exige configurações específicas do repositório. Para obter mais informações, consulte "Repositórios compatíveis".

  1. No GitHub, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança.
    Guia de segurança
  3. Na barra lateral de segurança, clique em alertas deDependabot.
    Aba de alertas de Dependabot
  4. Acima da lista de alertas, use o menu suspenso e selecione ou desmarque as atualizações de segurança do Dependabot.
    Menu suspenso com a opção de ativar Atualizações de segurança do GitHub Dependabot

Leia mais

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.