Atualmente o GitHub AE está em versão limitada.

Visualizando e atualizando alertas do Dependabot

Neste artigo

Se o GitHub AE descobrir dependências inseguras no seu projeto, você poderá visualizá-las na guia de alertas do Dependabot no seu repositório. Você pode atualizar seu projeto para resolver ou descartar o alerta.

Quem pode usar esse recurso

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

A guia Dependabot alerts do repositório lista todos os Dependabot alerts abertos e fechados. Você pode filtrar os alertas por pacote, ecossistema ou manifesto. Você pode classificar a lista de alertas, além de poder clicar em alertas específicos para mais detalhes. Você também pode ignorar ou reabrir alertas. Para obter mais informações, confira "Sobre alertas do Dependabot".

Você pode filtrar e classificar Dependabot alerts usando uma variedade de filtros e opções de classificação disponíveis na interface do usuário. Para obter mais informações, confira "Como priorizar Dependabot alerts", abaixo.

Você também pode auditar as ações executadas em resposta aos alertas do Dependabot. Para obter mais informações, confira "Alertas de segurança de auditoria".

Como priorizar Dependabot alerts

A GitHub ajuda você a priorizar a correção de Dependabot alerts.

Exibir Dependabot alerts

  1. No sua empresa, navegue até a página principal do repositório.
  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.
  3. Na barra lateral "Alertas de vulnerabilidade" da visão geral de segurança, clique em Dependabot . Se essa opção está ausente, isso significa que você não tem acesso aos alertas de segurança e precisa receber o acesso. Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório". Captura de tela da visão geral de segurança, com a guia "Dependabot" realçada com um contorno laranja escuro.
  4. Opcionalmente, para filtrar alertas, selecione um filtro no menu suspenso e clique no filtro que deseja aplicar. Você também pode digitar filtros na barra de pesquisa. Para obter mais informações sobre filtragem e classificação de alertas, confira "Como priorizar Dependabot alerts".
  5. Clique no alerta que você deseja visualizar.

Revisão e correção de alertas

É importante garantir que todas as suas dependências estejam livres de quaisquer falhas de segurança. Quando Dependabot descobre vulnerabilidades descobre vulnerabilidades em suas dependências, você deve avaliar o nível de exposição do seu projeto e determinar quais etapas de correção devem ser tomadas para proteger seu aplicativo.

Nos casos em que uma versão corrigida não está disponível ou você não pode atualizar para a versão segura, Dependabot compartilha informações adicionais para ajudar você a determinar as próximas etapas. Ao clicar para visualizar um alerta Dependabot, você pode ver os detalhes completos do aviso de segurança para a dependência, incluindo as funções afetadas. Em seguida, você pode verificar se o código chama as funções afetadas. Essas informações podem ajudar a avaliar melhor o seu nível de risco e determinar soluções alternativas ou se você pode aceitar o risco representado pela conselho de segurança.

Corrigir dependências vulneráveis

  1. Exiba os detalhes de um alerta. Para obter mais informações, confira "Exibir Dependabot alerts" acima.

  2. Você pode usar as informações na página para decidir para qual versão da dependência atualizar e criar uma solicitação de pull para o arquivo de manifesto ou bloqueio para uma versão segura.

  3. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request.

Ignorar Dependabot alerts

Dica: você só pode ignorar alertas em aberto.

Se você agendar um trabalho extensivo para atualizar uma dependência ou decidir que um alerta não precisa ser corrigido, poderá ignorar o alerta. Ignorar alertas que você já avaliou facilita a triagem de novos alertas à medida que aparecem.

  1. Exiba os detalhes de um alerta. Para obter mais informações, confira "Exibir dependências vulneráveis" (acima).

  2. Selecione o menu suspenso "Ignorar" e clique em um motivo para ignorar o alerta. Os alertas ignorados não corrigidos poderão ser reabertos mais tarde.

    Captura de tela da página de um alerta do Dependabot, com a lista suspensa "Ignorar" e as opções realçadas com um contorno laranja escuro.

Visualizando e atualizando alertas fechados

Você pode visualizar todos os alertas abertos e reabrir alertas que foram descartados anteriormente. Alertas fechados que já foram corrigidos não poderão ser reabertos.

  1. No sua empresa, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral "Alertas de vulnerabilidade" da visão geral de segurança, clique em Dependabot . Se essa opção está ausente, isso significa que você não tem acesso aos alertas de segurança e precisa receber o acesso. Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório". Captura de tela da visão geral de segurança, com a guia "Dependabot" realçada com um contorno laranja escuro.

  4. Para ver apenas os alertas fechados, clique em Fechados.

  5. Clique no alerta que deseja ver ou atualizar.

  6. Opcionalmente, se o alerta foi ignorado e você deseja reabri-lo, clique em Reabrir. Alertas que já foram corrigidos não poderão ser reabertos.

    Captura de tela mostrando um alerta de Dependabot fechado. Um botão intitulado "Reabrir" está realçado com um contorno laranja escuro.

Revisão dos logs de auditoria do Dependabot alerts

Quando um membro da sua organização ou empresa executa uma ação relacionada ao Dependabot alerts, você pode examiná-las no log de auditoria. Para obter mais informações sobre como acessar o log, confira "Revisar o log de auditoria da organização" e "Como acessar o log de auditoria da sua empresa".

Os eventos no log de auditoria do Dependabot alerts incluem detalhes da ação, como quem a executou, qual foi executada e quando. Para obter informações sobre as ações do Dependabot alerts, confira a categoria repository_vulnerability_alert em "Eventos de log de auditoria para sua organização" e "Auditar eventos de log para sua empresa".