Skip to main content

Habilitando o Dependabot para sua empresa

Você pode permitir que os usuários para your enterprise encontrem e corrijam vulnerabilidades nas dependências do código habilitando Dependabot alerts.

Who can use this feature

Enterprise owners can enable Dependabot.

Sobre Dependabot para GitHub AE

O Dependabot ajuda os usuários para your enterprise a encontrar e corrigir vulnerabilidades nas dependências.

Observação: atualmente, os Dependabot alerts estão em versão beta e sujeito a alterações.

Com Dependabot alerts, o GitHub identifica dependências vulneráveis nos repositórios e cria alertas no your enterprise, usando dados do GitHub Advisory Database e o serviço de grafo de dependência.

We add advisories to the GitHub Advisory Database from the following sources:

If you know of another database we should be importing advisories from, tell us about it by opening an issue in https://github.com/github/advisory-database.

Após habilitar o recurso Dependabot alerts para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o GitHub Advisory Database e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. Para obter mais informações, confira "Procurar avisos de segurança no GitHub Advisory Database".

Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, confira "Como ver os dados de vulnerabilidade da sua empresa".

Observação: quando você habilita Dependabot alerts, nenhum código ou informação sobre o código para your enterprise é carregado no GitHub.com.

Quando your enterprise recebe informações sobre uma vulnerabilidade, ele identifica os repositórios em your enterprise que usam a versão afetada da dependência e gera Dependabot alerts. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Dependabot alerts.

Para repositórios com Dependabot alerts habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a your enterprise, o GitHub AE verifica todos os repositórios existentes em your enterprise e gera alertas sobre repositórios vulneráveis. Para obter mais informações, confira "Sobre os Dependabot alerts".

Habilitando Dependabot alerts

Antes de poder habilitar Dependabot alerts:

  1. No canto superior à direita de GitHub AE, clique na foto do perfil e clique em Configurações da empresa. "Configurações da empresa" no menu suspenso da foto do perfil em GitHub AE 1. Na barra lateral da conta corporativa, clique em GitHub Connect . Guia do GitHub Connect na barra lateral da conta corporativa

  2. Em "Os repositórios podem ser verificados quanto a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com notificações. Menu suspenso usado para habilitar a verificação de vulnerabilidades nos repositórios

    Dica: recomendamos configurar os Dependabot alerts sem notificações nos primeiros dias para evitar uma sobrecarga de emails. Após alguns dias, você poderá habilitar as notificações para receber Dependabot alerts, como de costume.