Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
Atualmente o GitHub AE está em versão limitada.

Habilitando o Dependabot para sua empresa

Você pode permitir que os usuários para sua empresa encontrem e corrijam vulnerabilidades nas dependências do código habilitando Dependabot alerts.

Quem pode usar esse recurso

Enterprise owners can enable Dependabot.

Sobre Dependabot para GitHub AE

O Dependabot ajuda os usuários para sua empresa a encontrar e corrigir vulnerabilidades nas dependências.

Observação: atualmente, os Dependabot alerts estão em versão beta e sujeito a alterações.

Com Dependabot alerts, o GitHub identifica dependências vulneráveis nos repositórios e cria alertas no sua empresa, usando dados do GitHub Advisory Database e o serviço de grafo de dependência.

Adicionamos comunicados ao GitHub Advisory Database das seguintes fontes:

Se você conhecer outro banco de dados do qual devemos importar os avisos, conte-nos sobre ele abrindo um problema em https://github.com/github/advisory-database.

Após habilitar o recurso Dependabot alerts para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o GitHub Advisory Database e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. Para obter mais informações, confira "Browsing security advisories in the GitHub Advisory Database".

Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, confira "Visualizando os dados de vulnerabilidade para a sua empresa".

Observação: quando você habilita Dependabot alerts, nenhum código ou informação sobre o código para sua empresa é carregado no GitHub.com.

Quando sua empresa recebe informações sobre uma vulnerabilidade, ele identifica os repositórios em sua empresa que usam a versão afetada da dependência e gera Dependabot alerts. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Dependabot alerts.

Para repositórios com Dependabot alerts habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a sua empresa, o GitHub AE verifica todos os repositórios existentes em sua empresa e gera alertas sobre repositórios vulneráveis. Para obter mais informações, confira "Sobre alertas do Dependabot".

Habilitando Dependabot alerts

Antes de poder habilitar Dependabot alerts:

  1. No canto superior à direita de GitHub AE, clique na foto do perfil e clique em Configurações da empresa. "Configurações da empresa" no menu suspenso da foto do perfil em GitHub AE 1. Na barra lateral da conta corporativa, clique em GitHub Connect .

  2. Em "Os repositórios podem ser verificados quanto a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com notificações. Menu suspenso usado para habilitar a verificação de vulnerabilidades nos repositórios

    Dica: recomendamos configurar os Dependabot alerts sem notificações nos primeiros dias para evitar uma sobrecarga de emails. Após alguns dias, você poderá habilitar as notificações para receber Dependabot alerts, como de costume.