👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Learn more on the GitHub blog.


Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Configuring GitHub Dependabot security updates

You can use Atualizações de segurança do GitHub Dependabot or manual pull requests to easily update vulnerable dependencies.

Neste artigo

Sobre o Atualizações de segurança do GitHub Dependabot

You can enable Atualizações de segurança do GitHub Dependabot for any repository that uses security alerts and the dependency graph. You can disable Atualizações de segurança do GitHub Dependabot for an individual repository or for all repositories owned by your user account or organization.

When you receive a security alert about a vulnerable dependency in your repository, you can resolve the vulnerability using a security update in a pull request generated by GitHub Dependabot. Security updates are available in repositories that use the dependency graph. Por padrão, o GitHub Dependabot cria automaticamente uma pull request no repositório de modo a atualizar a dependência vulnerável para a menor versão segura necessária para evitar a vulnerabilidade. Se preferir, você pode desabilitar as pull requests automáticas e criá-las manualmente para atualizar dependências somente quando for conveniente.

Security updates contain everything you need to quickly and safely review and merge a proposed fix into your project, including information about the vulnerability like release notes, changelog entries, and commit details.

Security updates are opened by GitHub Dependabot. GitHub Dependabot aplicativo GitHub is automatically installed on every repository where security updates are enabled.

As pessoas com acesso aos alertas de segurança do seu repositório verão um link para o alerta de segurança relevante, embora outras pessoas com acesso à pull request não possam ver qual vulnerabilidade a pull request resolve.

When you merge a pull request that contains a security update, the corresponding security alert is marked as resolved for your repository.

Note: Atualizações de segurança do GitHub Dependabot only resolve security vulnerabilities in your dependencies. Security updates are not created to resolve vulnerabilities in private registries or packages hosted in private repositories.

Supported repositories

GitHub automatically enables Atualizações de segurança do GitHub Dependabot for every repository that meets these requirements.

Note: For repositories created before November 2019, GitHub has automatically enabled Atualizações de segurança do GitHub Dependabot if the repository meets the following criteria and has received at least one push since May 23, 2019.

RequirementMais informações
Repository is not a fork"Sobre bifurcações"
Repository is not archived"Arquivar repositórios"
Repository is public, or repository is private and you have enabled read-only analysis by GitHub, dependency graph, and vulnerability alerts in the repository's settings"Opting into data use for your private repository"
Repository contains dependency manifest file from a package ecosystem that GitHub supports"Supported package ecosystems"
Atualizações de segurança do GitHub Dependabot are not disabled for the repository"Managing Atualizações de segurança do GitHub Dependabot for your repository"
Repository is not already using an integration for dependency management"Sobre integrações"

If security updates are not enabled for your repository and you don't know why, you can contact support.

Sobre pontuações de compatibilidade

Atualizações de segurança do GitHub Dependabot also include compatibility scores to let you know whether updating a vulnerability could cause breaking changes to your project. We look at previously-passing CI tests from public repositories where we've generated a given security update to learn whether the update causes tests to fail. Uma pontuação de compatibilidade da atualização é a porcentagem de execuções de CI que foram aprovadas durante a atualização entre versões relevantes da dependência.

Managing Atualizações de segurança do GitHub Dependabot for your repository

You can enable or disable Atualizações de segurança do GitHub Dependabot for an individual repository.

Atualizações de segurança do GitHub Dependabot require specific repository settings. For more information, see "Supported repositories."

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the security sidebar, click Dependabot alerts.
    Dependabot alerts tab
  4. Above the list of alerts, use the drop-down menu and select or unselect Dependabot security updates.
    Drop-down menu with the option to enable Atualizações de segurança do GitHub Dependabot

Managing Atualizações de segurança do GitHub Dependabot for your user account

You can disable Atualizações de segurança do GitHub Dependabot for all repositories owned by your user account. If you do, you can still enable Atualizações de segurança do GitHub Dependabot for individual repositories owned by your user account.

  1. In the upper-right corner of any page, click your profile photo, then click Settings.
    Ícone Settings (Configurações) na barra de usuário
  2. In the user settings sidebar, click Security.
    Security settings sidebar
  3. Under "Dependabot security updates", select or deselect Opt out of Dependabot security updates.
    Checkbox to opt out of Dependabot security updates
  4. Click Save.

Managing Atualizações de segurança do GitHub Dependabot for your organization

Organization owners can disable Atualizações de segurança do GitHub Dependabot for all repositories owned by the organization. If you do, anyone with admin permissions to an individual repository owned by the organization can still enable Atualizações de segurança do GitHub Dependabot on that repository.

  1. In the top right corner of GitHub, click your profile photo, then click Your profile.
    Profile photo
  2. On the left side of your profile page, under "Organizations", click the icon for your organization.
    organization icons
  3. Under your organization name, click Settings.
    Organization settings button
  4. In the organization settings sidebar, click Security.
    Security settings
  5. Under "Dependabot security updates", select or deselect Opt out of Dependabot security updates.
    Checkbox to opt out of Dependabot security updates
  6. Click Save.

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato