Sobre notificações para dependências vulneráveis
Quando Dependabot detecta dependências vulneráveis nos seus repositórios, geramos um alerta Dependabot e exibimo-lo na aba Segurança do repositório. GitHub notifica os mantenedores dos repositórios afetados sobre o novo alerta de acordo com suas preferências de notificação. Dependabot está habilitado por padrão em todos os repositórios públicos. Para Dependabot alerts, por padrão, você receberá Dependabot alerts por e-mail, agrupado pela vulnerabilidade específica.
Se você é proprietário de uma organização, você pode habilitar ou desabilitar Dependabot alerts para todos os repositórios da sua organização com um clique. Você também pode definir se a detecção de dependências vulneráveis será habilitada ou desabilitada para repositórios recém-criados. Para obter mais informações, consulte "Gerenciar configurações de segurança e análise para sua organização".
Configurar notificações para Dependabot alerts
Você pode definir as configurações de notificação para si mesmo ou para sua organização no menu suspenso Gerenciar notificações exibido na parte superior de cada página. Para obter mais informações, consulte “Configurar notificações".
Você pode escolher o método de entrega para notificações sobre Dependabot alerts em repositórios que você está inspecionando, bem como a frequência na qual as notificações são enviadas para você.
Por padrão, você receberá notificações das novas Dependabot alerts:
- por e-mail, um e-mail é enviado toda vez que uma vulnerabilidade com uma gravidade crítica ou alta é encontrada (opção de Enviar e-mail toda vez que uma vulnerabilidade for encontrada)
- na interface do usuário, é exibido um aviso é nos arquivos e visualizações de código do seu repositório se houver quaisquer dependências vulneráveis (opção de alertas de interface do usuário)
- na linha de comando, são exibidos avisos como retornos de chamada quando você faz push em repositórios com quaisquer dependências vulneráveis (opção de Linha de Comando)
- na caixa de entrada, como notificações da web para novas vulnerabilidades com uma gravidade crítica ou alta (opçãoWeb) Você pode personalizar a forma como você é notificado
Dependabot alerts. Por exemplo, você pode receber um e-mail semanal com o resumo dos alertas de até 10 de seus repositórios usando as opções Enviar e-mail com o resumo das vulnerabilidades e Resumo semanal por e-mail sobre segurança.
Observação: Você filtrar as notificações de GitHub para mostrar os alertas de do Dependabot. Para obter mais informações, consulte "Gerenciando notificações de sua caixa de entrada".
Email notifications for Dependabot alerts that affect one or more repositories include the X-GitHub-Severity header field. You can use the value of the X-GitHub-Severity header field to filter email notifications for Dependabot alerts. Para obter mais informações, consulte "Configurar notificações."
Como reduzir o ruído das notificações para dependências vulneráveis
Se você estiver preocupado em receber muitas notificações para Dependabot alerts, recomendamos que você opte pelo resumo semanal por e-mail ou desative as notificações ao mesmo tempo que mantém os Dependabot alerts habilitados. Você ainda pode navegar para ver os seus Dependabot alerts na aba de Segurança do seu repositório. Para obter mais informações, consulte "Visualizar e atualizar dependências vulneráveis no seu repositório".