Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre a gestão de dependências vulneráveis

GitHub ajuda você a evitar o uso de software de terceiros que contém vulnerabilidades conhecidas.

GitHub fornece as ferramentas a seguir para remover e evitar dependências vulneráveis.

Gráfico de dependências

O gráfico de dependências é um resumo do manifesto e bloqueia arquivos armazenados em um repositório. Ele mostra os ecossistemas e pacotes dos quais a sua base de código depende (suas dependências) e os repositórios e pacotes que dependem do seu projeto (suas dependências). As informações no gráfico de dependências são usadas pela revisão das dependências e Dependabot. Para obter mais informações, consulte "Sobre o gráfico de dependência".

Revisão de dependência

Ao verificar as revisões de dependências nos pull requests, você pode evitar a introdução de vulnerabilidades de dependências na sua base de código. Se os pull requests adicionarem uma dependência vulnerável, ou alterarem a dependência a uma versão vulnerável, isso será destacado na revisão de dependências. Você pode alterar a dependência para uma versão alterada antes de realizar o merge do pull request. Para obter mais informações, consulte "Revisar as mudanças de dependências em um pull request".

Dependabot alerts

GitHub pode criar Dependabot alerts quando detectar dependências vulneráveis no seu repositório. O alerta é exibido na aba Segurança do repositório. O alerta inclui um link para o arquivo afetado no projeto, e informações sobre uma versão corrigida. GitHub também notifica os mantenedores do repositório, de acordo com as suas preferências de notificação. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis"

Dependabot security updates

Quando GitHub gera um alerta de Dependabot para uma dependência vulnerável no seu repositório, Dependabot pode tentar corrigir automaticamente para você. Dependabot security updates são pull requests gerados automaticamente que atualizam uma dependência vulnerável para uma versão fixa. Para obter mais informações, consulte "Sobre Dependabot security updates."

Dependabot version updates

Habilitar Dependabot version updates remove o esforço de manter suas dependências. Com Dependabot version updates, sempre que GitHub identifica uma dependência desatualizada, ele cria um pull request para atualizar o manifesto para a última versão da dependência. Em contrapartida, Dependabot security updates apenas cria pull requests para corrigir dependências vulneráveis. Para obter mais informações, consulte "Sobre atualizações da versão do Dependabot".

Esse documento ajudou você?

Privacy policy

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.