Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
O GitHub AE está atualmente sob versão limitada. Entre em contato com nossa Equipe de Vendas para saber mais.

Habilitando o Dependabot para sua empresa

Você pode permitir que os usuários de your enterprise encontrem e corrijam vulnerabilidades em dependências de código, habilitando Alertas do Dependabot.

Enterprise owners can enable Dependabot.

Sobre Dependabot para GitHub AE

Dependabot ajuda os usuários do your enterprise a encontrar e corrigir vulnerabilidades em suas dependências.

Note: Alertas do Dependabot is currently in beta and is subject to change.

Com Alertas do Dependabot, GitHub identifica dependências inseguras nos repositórios e cria alertas em your enterprise, usando dados do Banco de Dados Consultivo GitHub e o serviço gráfico de dependências.

We add advisories to the Banco de Dados Consultivo GitHub from the following sources:

  • A Base de Dados de Vulnerabilidade Nacional
  • Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
  • Consultorias de segurança relatadas em GitHub
  • O banco de dados de Consultorias de segurança de npm

Após habilitar o recurso Alertas do Dependabot para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o Banco de Dados Consultivo GitHub e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. For more information about advisory data, see "Browsing security advisories in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, consulteVisualizando os dados de vulnerabilidade da sua empresa".

Observação: Ao habilitar Alertas do Dependabot, nenhum código ou informação sobre o código de your enterprise será enviado para GitHub.com.

Quando your enterprise recebe informações sobre uma vulnerabilidade, ele identifica repositórios em your enterprise que usam a versão afetada da dependência e gera Alertas do Dependabot. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Alertas do Dependabot.

Para repositórios com Alertas do Dependabot habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a your enterprise, GitHub AE digitaliza todos os repositórios existentes em your enterprise e gera alertas para qualquer repositório que seja vulnerável. Para obter mais informações, consulte "Sobre Alertas do Dependabot".

Habilitando Alertas do Dependabot

Antes de poder habilitar Alertas do Dependabot:

  1. No canto superior direito de GitHub AE, clique na sua foto de perfil e, em seguida, clique em Configurações da empresa. "Configurações da empresa" no menu suspenso para foto do perfil em GitHub AE

  2. In the enterprise account sidebar, click GitHub Connect. GitHub Connect tab in the enterprise account sidebar

  3. Em "Repositórios podem ser digitalizados com relação a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com as notificações. Menu suspenso para habilitar a verificação vulnerabilidades nos repositórios

    Dica: Recomendamos configurar Alertas do Dependabot sem notificações para os primeiros dias para evitar uma sobrecarga de e-mails. Após alguns dias, você poderá habilitar as notificações para receber Alertas do Dependabot, como de costume.