Sobre as regras de triagem automática do Dependabot

Controle como Dependabot lida com alertas de segurança, incluindo filtragem, ignorar, adiar ou acionar atualizações de segurança.

Quem pode usar esse recurso?

Predefinições do GitHub estão disponíveis para todos os tipos de repositório.

Regras de triagem automática personalizadas estão disponíveis para os seguintes tipos de repositório:

  • Repositórios públicos no GitHub.com
  • Repositórios de propriedade da organização no GitHub Team ou no GitHub Enterprise Cloud com GitHub Code Security habilitado

Neste artigo

Sobre Regras de triagem automática do Dependabot

Regras de triagem automática do Dependabot permitem que você instrua Dependabot a realizar automaticamente a triagem de Dependabot alerts e Dependabot malware alerts. Você pode usar Regras de triagem automática para:

  • Ignorar ou coorar automaticamente determinados alertas
  • Especifique o Dependabot alerts que você deseja que o Dependabot abra solicitações de pull para

As regras são aplicadas antes que as notificações de alerta sejam enviadas, portanto, habilitar regras que descartam alertas de baixo risco automaticamente ajudará a reduzir o ruído de notificação.

Há dois tipos de Regras de triagem automática do Dependabot:

  • Predefinições do GitHub
  • Regras de triagem automática personalizadas

Sobre Predefinições do GitHub

Predefinições do GitHub são regras cuidadosamente selecionadas por GitHub que estão disponíveis para todos os repositórios.

Ignorar problemas de baixo impacto para dependências com escopo de desenvolvimento

A regra Dismiss low impact issues for development-scoped dependencies é uma predefinição GitHub que descarta automaticamente certos tipos de vulnerabilidades encontradas em dependências npm usadas no desenvolvimento. Esses alertas abrangem casos que parecem falsos alarmes para a maioria dos desenvolvedores, pois as vulnerabilidades associadas:

  • É improvável que eles sejam exploráveis em um ambiente de desenvolvedor (não produção ou runtime).
  • Podem estar relacionados ao gerenciamento de recursos, à programação e à lógica, além de a questões de divulgação de informações confidenciais.
  • Na pior das hipóteses, têm efeitos limitados, como compilações lentas ou testes de execução prolongada.
  • Não são indicativos de problemas na produção.

A regra está habilitada por padrão para repositórios públicos e pode ser ativada para repositórios privados. Para obter instruções, consulte Habilitar a Dismiss low impact issues for development-scoped dependencies regra para seu repositório privado.

Para obter mais informações sobre os critérios usados pela regra, consulte CWEs usados pelas regras predefinidas do Dependabot do GitHub.

Ignorar alertas de malware do pacote

A regra Dismiss package malware alerts é uma predefinição GitHub que descarta automaticamente alertas que marcam todas as versões de um pacote como maliciosas. Se o projeto depender de um pacote interno com o mesmo ecossistema e nome de um pacote público malicioso, Dependabot poderá gerar um alerta de falso positivo, que a regra então descarta automaticamente.

Importante

Lembre-se de que, se um colaborador adicionar uma dependência verdadeiramente mal-intencionada em todas as versões, essa regra ignorará automaticamente o alerta relacionado.

A regra Dismiss package malware alerts está desabilitada por padrão, mas pode ser habilitada em qualquer repositório usando Dependabot malware alerts.

Sobre regras de triagem automática personalizadas

Observação

Regras de triagem automática personalizadas para Dependabot alerts estão disponíveis em repositórios públicos e em quaisquer repositórios de propriedade da organização no GitHub Team ou GitHub Enterprise com o GitHub Code Security habilitado.

Com regras de triagem automática personalizadas, você pode criar suas próprias regras para ignorar ou reabrir alertas automaticamente com base em metadados direcionados, como gravidade nome do pacote e CWE, entre outros. Você pode especificar o Dependabot alerts que você deseja que o Dependabot abra solicitações de pull para. Para saber mais, confira Personalizando regras de triagem automática para priorizar alertas do Dependabot.

Você pode criar regras personalizadas na guia Configurações do repositório, desde que o repositório pertença a uma organização com uma licença do GitHub Code Security or GitHub Advanced Security. Para obter mais informações, consulte Adicionando regras de triagem automática personalizadas ao seu repositório.

Sobre alertas de rejeição automática

Embora possa ser útil ignorar automaticamente alertas para utilizar regras de triagem automática, você ainda pode reabrir alertas ignorados automaticamente e filtrar para ver quais alertas foram ignorados automaticamente. Para saber mais, confira Como gerenciar alertas que foram ignorados automaticamente por uma regra de triagem automática do Dependabot.

Além disso, os alertas ignorados automaticamente ainda estão disponíveis para relatórios e análise e poderão ser reabertos automaticamente se os metadados do alerta forem alterados, por exemplo:

  • Se você alterar o escopo de uma dependência de desenvolvimento para produção.
  • Se o GitHub modificar determinados metadados para o comunicado relacionado.

Os alertas ignorados automaticamente são definidos pelo motivo de encerramento resolution:auto-dismiss. A atividade que ignora alertas automaticamente está incluída em webhooks de alerta, em APIs REST, em APIs do GraphQL e no log de auditoria. Para obter mais informações, consulte Pontos de extremidade da API REST para o Dependabot alerts, e a seção "repository_vulnerability_alert" em Revisar o log de auditoria da organização.

Próximas Etapas 

Para começar a usar Regras de triagem automática do Dependabot, consulte Usar regras predefinidas do GitHub para priorizar alertas do Dependabot.

Para personalizar sua experiência de triagem automática, consulte Personalizando regras de triagem automática para priorizar alertas do Dependabot.