Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
O GitHub AE está atualmente sob versão limitada. Entre em contato com nossa Equipe de Vendas para saber mais.

Sobre alertas do Dependabot

GitHub AE envia Alertas do Dependabot quando detectamos que seu repositório usa uma dependência vulnerável.

Sobre Alertas do Dependabot

Alertas do Dependabot diz que o seu código depende de um pacote inseguro.

Se o seu código depende de um pacote com uma vulnerabilidade de segurança, isto pode causar uma série de problemas para o seu projeto ou para as pessoas que o utilizam. Você deve atualizar para uma versão segura do pacote o mais rápido possível.

For more information about advisory data, see "Browsing security advisories in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

Detecção de dependências inseguras

Note: Alertas do Dependabot is currently in beta and is subject to change.

Dependabot realiza uma digitalização para detectar dependências inseguras e envia Alertas do Dependabot quando:

  • São sincronizados novos dados de consultoria com your enterprise a cada hora a partir de GitHub.com. For more information about advisory data, see "Browsing security advisories in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

    Observação: Apenas consultorias que foram revisados por GitHub irão acionar Alertas do Dependabot.

  • O gráfico de dependências para alterações de repositório. Por exemplo, quando um colaborador faz push de um commit para alterar os pacotes ou versões de que depende. Para obter mais informações, consulte "Sobre o gráfico de dependência".

Além disso, GitHub can review any dependencies added, updated, or removed in a pull request made against the default branch of a repository, and flag any changes that would reduce the security of your project. This allows you to spot and deal with vulnerable dependencies before, rather than after, they reach your codebase. Para obter mais informações, consulte "Revisar as mudanças de dependências em um pull request".

Para obter uma lista dos ecossistemas nos quais GitHub AE detecta dependências inseguras, consulte "Ecossistemas de pacotes compatíveis.".

Observação: É importante manter seus manifestos atualizados e seu arquivos bloqueados. Se o gráfico de dependências não refletir corretamente suas dependências e versões atuais, você poderá perder alertas para dependências inseguras que você usar. Você também pode receber alertas de dependências que você já não usa.

Configuração de Alertas do Dependabot

Enterprise owners must enable Alertas do Dependabot for your enterprise before you can use this feature. Para obter mais informações, consulte "Habilitar Dependabot para a sua empresa."

Quando GitHub AE identifica uma dependência vulnerávelde malware, geramos um alerta de Dependabot e exibimos no gráfico de dependência do repositório. O alerta inclui informações sobre uma versão fixa. GitHub AE também pode notificar os mantenedores dos repositórios afetados sobre o novo alerta de acordo com as suas preferências de notificação. Para obter mais informações, consulte "Configurando notificações para Alertas do Dependabot."

Observação: As funcionalidades de segurança da GitHub AE não afirmam capturar todas as vulnerabilidadesde malware. Mantemos ativamente Banco de Dados Consultivo GitHub e geramos alertas com as informações mais atualizadas. No entanto, não podemos capturar tudo ou falar sobre vulnerabilidades conhecidas em um período de tempo garantido. Esses recursos não substituem a revisão humana de cada dependência em busca de possíveis vulnerabilidades ou algum outro problema, e nossa sugestão é consultar um serviço de segurança ou realizar uma revisão completa da dependência, quando necessário.

Acesso a Alertas do Dependabot

É possível ver todos os alertas que afetam um determinado projeto no gráfico de dependências do repositório. Para obter mais informações, consulte "Visualizando e atualizando Alertas do Dependabot."

Por padrão, notificamos as pessoas com permissões de administrador nos repositórios afetados sobre os novos Alertas do Dependabot.

You can choose the delivery method for notifications, as well as the frequency at which the notifications are sent to you. Para obter mais informações, consulte "Configurando notificações para Alertas do Dependabot."

Você também pode ver todos os Alertas do Dependabot que correspondem a uma consultoria particular em Banco de Dados Consultivo GitHub. For more information about advisory data, see "Browsing security advisories in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.