Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
Versão do artigo: GitHub.com

Sobre alertas para dependências vulneráveis

O GitHub envia Alertas GitHub Dependabot quando detectamos vulnerabilidades que afetam o seu repositório.

Neste artigo

Sobre as dependências vulneráveis

Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. Vulnerabilities vary in type, severity, and method of attack.

Quando o seu código depende de um pacote que tenha uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas para o seu projeto ou para as pessoas que o usam.

Detecção de dependências vulneráveis

GitHub Dependabot detecta dependências vulneráveis e envia Dependabot alertas de quando:

Para obter uma lista dos ecossistemas para os quais o GitHub pode detectar vulnerabilidades e dependências, consulte "Ecossistemas de pacotes compatíveis".

Observação: É importante manter seus manifestos atualizados e seu arquivos bloqueados. Se o gráfico de dependências não refletir corretamente suas dependências e versões atuais, você poderá perder alertas para dependências vulneráveis que você usar. Você também pode receber alertas de dependências que você já não usa.

Alertas do GitHub Dependabot para dependências vulneráveis

GitHub detecta e alerta usuários para dependências vulneráveis em repositórios públicos por padrão. Os proprietários de repositórios privados ou pessoas com acesso de administrador, podem habilitar o Alertas GitHub Dependabot ativando o gráfico de dependências e Alertas GitHub Dependabot para seus repositórios.

You can also enable or disable GitHub Dependabot alerts for all repositories owned by your user account or organization. For more information, see "Managing security and analysis settings for your user account" or "Managing security and analysis settings for your organization."

GitHub começa a gerar o gráfico de dependências imediatamente e envia alertas para quaisquer dependências vulneráveis assim que forem identificadas. O gráfico geralmente é preenchido em minutos, mas isso pode levar mais tempo para repositórios com muitas dependências. Para obter mais informações, consulte "Gerenciando configurações do uso de dados de seu repositório privado".

Quando GitHub identifica uma dependência vulnerável, enviamos um Dependabot alerta de para os mantenedores dos repositórios afetados, com informações sobre a vulnerabilidade, um link para o arquivo afetado no projeto, bem como informações sobre uma versão corrigida. Para repositórios que ativaram o Atualizações de segurança do GitHub Dependabot, o alerta também contém um link para um pull request para atualizar o manifesto ou arquivo bloqueado para a versão mínima que resolve a vulnerabilidade. Para obter mais informações, consulte "Configurar as Atualizações de segurança do GitHub Dependabot".

Observação: Os recursos de segurança de GitHub não reivindicam garantem que todas as vulnerabilidades sejam detectadas. Embora estejamos sempre tentando atualizar nosso banco de dados de vulnerabilidades e alertar você com nossas informações mais atualizadas, não podemos capturar tudo nem alertar sobre vulnerabilidades conhecidas dentro de um prazo garantido. Esses recursos não substituem a revisão humana de cada dependência em busca de possíveis vulnerabilidades ou algum outro problema, e nossa sugestão é consultar um serviço de segurança ou realizar uma revisão completa de vulnerabilidade quando necessário.

Acesso a Alertas de

É possível ver todos os alertas que afetam um determinado projeto na aba de Segurança do repositório ou no gráfico de dependências do repositório. Para obter mais informações, consulte "Visualizar e atualizar dependências vulneráveis no seu repositório".

Por padrão, enviamos alertas de para pessoas com permissão de administrador nos repositórios afetados. O GitHub nunca divulga publicamente vulnerabilidades identificadas em qualquer repositório. Você também pode habilitar os alertas de segurança para outras pessoas ou equipes que trabalham em repositórios que pertencem à organização. Para obter mais informações, consulte "Gerenciar alertas para dependências vulneráveis nos repositórios da sua organização".

Configurar notificações para alertas de segurança do Alertas GitHub Dependabot

Por padrão, você receberá osAlertas GitHub Dependabot por e-mail, agrupados pela vulnerabilidade específica. Você também pode optar por receber osAlertas GitHub Dependabot semanalmente por e-mail, com um resumo dos alertas de até 10 dos seus repositórios, em suas notificações da web, ou na interface de usuário do GitHub. Para obter mais informações, consulte "Configurar notificações".

Email notifications for Alertas GitHub Dependabot that affect one or more repositories include the X-GitHub-Severity header field. You can use the value of the X-GitHub-Severity header field to filter email notifications for Alertas GitHub Dependabot. Para obter mais informações, consulte "Configurar notificações.

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato