Sobre alertas do Dependabot

          Dependabot alerts ajudar você a encontrar e corrigir dependências vulneráveis antes que elas se tornem riscos de segurança.

Quem pode usar esse recurso?

Dependabot alerts estão disponíveis para repositórios de organizações e usuários.

Neste artigo

O software geralmente depende de pacotes de várias fontes, criando relações de dependência que podem, sem saber, introduzir vulnerabilidades de segurança. Quando seu código depende de pacotes com vulnerabilidades de segurança conhecidas, você se torna um destino para invasores que buscam explorar seu sistema, potencialmente obtendo acesso ao código, dados, clientes ou colaboradores. Dependabot alerts notifique você sobre dependências vulneráveis para que você possa atualizar para versões seguras e proteger seu projeto.

Quando Dependabot envia alertas

          Dependabot verifica o branch padrão do repositório e envia alertas quando:
  • Uma nova vulnerabilidade é adicionada ao GitHub Advisory Database
  • Seu gráfico de dependências muda — por exemplo, quando você envia commits que atualizam pacotes ou versões.

Para ecossistemas com suporte, consulte Ecossistemas de pacotes com suporte a gráficos de dependência.

Noções básicas sobre alertas

Quando GitHub detecta uma dependência vulnerável, um Dependabot alerta aparece na guia do repositório e no grafo de dependência do repositório Security and quality. Cada alerta inclui:

  • Um link para o arquivo afetado
  • Detalhes sobre a vulnerabilidade e sua gravidade
  • Informações sobre uma versão fixa (quando disponível)

Para obter informações sobre como exibir e gerenciar alertas, consulte Visualizando e atualizando alertas do Dependabot.

Quem pode habilitar alertas?

Os administradores de repositórios e proprietários de organizações podem habilitar Dependabot alerts para seus repositórios e organizações. Quando habilitado, GitHub gera imediatamente o grafo de dependência e cria alertas para quaisquer dependências vulneráveis identificadas por ele. Os administradores do repositório podem conceder acesso a outras pessoas ou equipes.

Confira Configurando alertas do Dependabot.

Propriedade e atribuições de alerta

Usuários com acesso de gravação ou superior podem atribuir Dependabot alerts a colaboradores de repositório, equipes, ou Copilot para estabelecer uma propriedade clara para a correção de vulnerabilidades. As atribuições ajudam a rastrear quem é responsável por cada alerta e impedir que vulnerabilidades sejam ignoradas.

Quando um alerta é atribuído, o destinatário recebe uma notificação e o alerta exibe seu nome na lista de alertas. Você pode filtrar alertas por responsável para acompanhar o progresso. Atribuir um alerta a Copilot gera automaticamente uma correção e abre uma solicitação de pull de rascunho para revisão.

Para obter informações sobre como atribuir alertas, consulte Visualizando e atualizando alertas do Dependabot.

Como funcionam as notificações de alerta

Por padrão, GitHub envia notificações por email sobre novos alertas para pessoas que:

  • Ter permissões de escrita, manutenção ou administração em um repositório
  • Estão assistindo ao repositório e habilitaram notificações para alertas de segurança ou para todas as atividades no repositório

Você pode substituir o comportamento padrão escolhendo o tipo de notificações que deseja receber ou desativando totalmente as notificações na página de configurações para as notificações do usuário.https://github.com/settings/notifications

Independentemente de suas preferências de notificação, quando Dependabot estiver habilitada pela primeira vez, GitHub não envia notificações para todas as dependências vulneráveis encontradas em seu repositório. Em vez disso, você receberá notificações para novas dependências vulneráveis identificadas após a habilitação de Dependabot, caso suas preferências de notificação permitam.

Se você estiver preocupado em receber muitas notificações, recomendamos aproveitar Regras de triagem automática do Dependabot para descartar automaticamente alertas de baixo risco. As regras são aplicadas antes que as notificações de alerta sejam enviadas, portanto, alertas que são descartados automaticamente após a criação não enviam notificações. Confira Sobre as regras de triagem automática do Dependabot.

Como alternativa, você pode optar pelo resumo semanal de e-mail ou até mesmo desativar completamente as notificações, mantendo o Dependabot alerts habilitado.

Limitações

          Dependabot alerts têm algumas limitações:

  • Os alertas não podem detectar todos os problemas de segurança. Sempre examine suas dependências e mantenha arquivos de manifesto e de bloqueio atualizados para detecção precisa.

  • Novas vulnerabilidades podem levar tempo para aparecer no GitHub Advisory Database e gerar alertas.

  • Somente avisos revisados por GitHub disparam alertas.

  •         Dependabot não verifica repositórios arquivados.

  • Para GitHub Actions, os alertas são gerados apenas para ações que usam versionamento semântico, não versionamento SHA.

            GitHub nunca divulga publicamente vulnerabilidades para qualquer repositório.

integração Chat GitHub Copilot

Com uma GitHub Copilot Enterprise licença, você pode fazer Chat Copilot perguntas nos repositórios da sua organização sobre Dependabot alerts. Para saber mais, confira Fazendo perguntas ao GitHub Copilot no GitHub.

Leitura adicional

  •         [AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)