Sobre Dependabot para GitHub AE
O Dependabot ajuda os usuários para sua empresa a encontrar e corrigir vulnerabilidades nas dependências.
Observação: atualmente, os Dependabot alerts estão em versão beta e sujeito a alterações.
Com Dependabot alerts, o GitHub identifica dependências vulneráveis nos repositórios e cria alertas no sua empresa, usando dados do GitHub Advisory Database e o serviço de grafo de dependência.
Adicionamos comunicados ao GitHub Advisory Database das seguintes fontes:
- Consultorias de segurança relatadas em GitHub
- O banco de dados Nacional de Vulnerabilidades
- O banco de dados Avisos de segurança do npm
- O banco de dados FriendsOfPHP
- O banco de dados Go Vulncheck
- O banco de dados Avisos de Empacotamento do Python
- O banco de dados Avisos do Ruby
- O banco de dados Avisos do RustSec
- {1>Contribuições da comunidade<1}. Para obter mais informações, confira https://github.com/github/advisory-database/pulls.
Se você conhecer outro banco de dados do qual devemos importar os avisos, conte-nos sobre ele abrindo um problema em https://github.com/github/advisory-database.
Após habilitar o recurso Dependabot alerts para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o GitHub Advisory Database e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. Para obter mais informações, confira "Browsing security advisories in the GitHub Advisory Database".
Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, confira "Visualizando os dados de vulnerabilidade para a sua empresa".
Observação: quando você habilita Dependabot alerts, nenhum código ou informação sobre o código para sua empresa é carregado no GitHub.com.
Quando sua empresa recebe informações sobre uma vulnerabilidade, ele identifica os repositórios em sua empresa que usam a versão afetada da dependência e gera Dependabot alerts. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Dependabot alerts.
Para repositórios com Dependabot alerts habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a sua empresa, o GitHub AE verifica todos os repositórios existentes em sua empresa e gera alertas sobre repositórios vulneráveis. Para obter mais informações, confira "Sobre alertas do Dependabot".
Habilitando Dependabot alerts
Antes de poder habilitar Dependabot alerts:
- Você deve habilitar GitHub Connect. Para obter mais informações, confira "Gerenciando o GitHub Connect".
-
No canto superior à direita de GitHub AE, clique na foto do perfil e clique em Configurações da empresa.
1. Na barra lateral da conta corporativa, clique em GitHub Connect . -
Em "Os repositórios podem ser verificados quanto a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com notificações.
Dica: recomendamos configurar os Dependabot alerts sem notificações nos primeiros dias para evitar uma sobrecarga de emails. Após alguns dias, você poderá habilitar as notificações para receber Dependabot alerts, como de costume.