Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Configurar atualizações de segurança do Dependabot do GitHub

Você pode usar Atualizações de segurança do GitHub Dependabot ou pull requests manuais para atualizar facilmente dependências vulneráveis.

Neste artigo

Sobre o Atualizações de segurança do GitHub Dependabot

O Dependabot monitora as consultorias de segurança, como o Banco de Dados Consultivo GitHub e o WhiteSource e aciona automaticamente um pull request quando detecta uma nova dependência vulnerável no gráfico de dependências dos repositórios. Para obter mais informações sobre o Banco de Dados Consultivo GitHub, consulte "Sobre o Banco de Dados Consultivo GitHub".

The pull request will upgrade the dependency to the minimum possible secure version needed to avoid the vulnerability.

Note: It's good practice to have automated tests and acceptance processes in place so that checks are carried out before the pull request is merged. This is particularly important if the suggested version to upgrade to contains additional functionality, or a change that breaks your project's code. For more information about continuous integration, see "About continuous integration."

Dependabot inclui um link para um pull request no alerta para a dependência vulnerável. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis" e "Sobre o gráfico de dependências".

Cada atualização de segurança contém tudo o que você precisa para revisar e mesclar, de forma rápida e segura, uma correção proposta no seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Detalhes de quais vulnerabilidades são resolvidas por um pull request de qualquer pessoa que não tem acesso aos alertas do Dependabot para o repositório.

Ao mesclar um pull request que contém uma atualização de segurança, o alerta correspondente será marcado como resolvido no seu repositório.

Observação Atualizações de segurança do GitHub Dependabot apenas resolve vulnerabilidades de segurança nas dependências rastreadas pelo seu gráfico de dependências. As atualizações de segurança não são criadas para resolver vulnerabilidades em registros privados ou pacotes hospedados em repositórios privados. No entanto, as dependências indiretas ou transitórias são incluídas se forem definidas explicitamente em um arquivo bloqueado ou similar. Para obter mais informações, consulte "Sobre o gráfico de dependência". Além disso, é importante destacar que o Atualizações de segurança do GitHub Dependabot cria automaticamente pull requests com correções propostas para os arquivos bloqueados, para as dependências identificadas como vulneráveis.

É possível habilitar o Atualizações de segurança do GitHub Dependabot para qualquer repositório que use alertas de Dependabot e o gráfico de dependências. Você pode desativar as Atualizações de segurança do GitHub Dependabot em um repositório individual ou para todos os repositórios que pertencem à sua conta de usuário ou organização. For more information, see "Managing Atualizações de segurança do GitHub Dependabot for your repositories" below.

GitHub Dependabot and all related features are covered by GitHub's Terms of Service.

Repositórios compatíveis

O GitHub habilita automaticamente o Atualizações de segurança do GitHub Dependabot para cada repositório que atende a estes pré-requisitos.

Pré-requisito de habilitação automáticaMais informações
O repositório não é uma bifurcação"Sobre bifurcações"
Repositório não está arquivado"Arquivar repositórios"
O repositório é público ou o repositório é privado e você ativou a análise somente leitura por GitHub, dependência gráfico e alertas de vulnerabilidade nas configurações do repositório"Gerenciar configurações de uso de dados para seu repositório privado".
O repositório contém o arquivo de manifesto de dependência de um ecossistema de pacote compatível com o GitHub"Ecossistemas de pacotes compatíveis"
Atualizações de segurança do GitHub Dependabot não estão desativadas para o repositório"Gerenciar Atualizações de segurança do GitHub Dependabot para o seu repositório"
O repositório já não está utilizando uma integração para o gerenciamento de dependências"Sobre integrações"

Note: You can manually enable Atualizações de segurança do GitHub Dependabot, even if the repository doesn't meet some of the prerequisites above, by following the instructions in "Managing Atualizações de segurança do GitHub Dependabot for your repositories."

Se as atualizações de segurança não estiverem habilitadas para o seu repositório e você não souber o motivo, primeiro tente habilitá-las utilizando as instruções fornecidas nas seções de procedimento abaixo. Se, ainda assim, as atualizações de segurança não funcionarem, você poderá entrar em contato com o suporte.

Sobre pontuações de compatibilidade

O Atualizações de segurança do GitHub Dependabot também inclui uma pontuação de compatibilidade para que você saiba se atualizar uma vulnerabilidade pode causar alterações significativas no seu projeto. Analisamos os testes de CI de execução anteriores a partir de repositórios públicos onde geramos uma determinada atualização de segurança para saber se a atualização faz com que ocorra uma falha nos testes. Uma pontuação de compatibilidade da atualização é a porcentagem de execuções de CI que foram aprovadas durante a atualização entre versões relevantes da dependência.

Managing Atualizações de segurança do GitHub Dependabot for your repositories

Você pode habilitar ou desabilitar Atualizações de segurança do GitHub Dependabot em um repositório individual.

You can also enable or disable Atualizações de segurança do GitHub Dependabot for all repositories owned by your user account or organization. For more information, see "Managing security and analysis settings for your user account" or "Managing security and analysis settings for your organization."

O Atualizações de segurança do GitHub Dependabot exige configurações específicas do repositório. Para obter mais informações, consulte "Repositórios compatíveis".

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the security sidebar, click Dependabot alerts.
    Dependabot alerts tab
  4. Acima da lista de alertas, use o menu suspenso e selecione ou desmarque as atualizações de segurança do Dependabot.
    Menu suspenso com a opção de ativar Atualizações de segurança do GitHub Dependabot

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato