Alertas de malware do Dependabot

Dependabot malware alerts ajudam a identificar malware em suas dependências para proteger seu projeto e seus usuários.

Quem pode usar esse recurso?

Repositórios com Dependabot alerts habilitados

Neste artigo

O software geralmente depende de pacotes de várias fontes, criando relações de dependência que podem ameaçar a segurança do projeto. Por exemplo, os maus atores podem usar pacotes mal-intencionados para executar ataques de malware, obtendo acesso ao seu código, dados, usuários e colaboradores.

Para ajudar a manter seu projeto seguro, Dependabot pode verificar suas dependências para pacotes mal-intencionados conhecidos e, em seguida, criar alertas com as etapas de correção sugeridas.

Quando Dependabot envia malware alerts

Dependabot envia malware alerts quando um pacote na ramificação padrão do repositório é sinalizado como mal-intencionado. Alertas para dependências existentes são gerados assim que o pacote é sinalizado no GitHub Advisory Database.

Os alertas também são gerados quando você envia confirmações por push que adicionam um pacote mal-intencionado conhecido ou atualizam um pacote a uma versão mal-intencionada conhecida.

Observação

Se o ecossistema, o nome e a versão de um pacote interno corresponderem aos de um pacote público mal-intencionado, Dependabot poderá gerar um alerta falso positivo.

Conteúdo do alerta

Quando Dependabot detecta uma dependência mal-intencionada, um malware alert aparece na guia Segurança do repositório. Cada alerta inclui:

  • Um link para o arquivo afetado
  • Detalhes sobre o pacote mal-intencionado, incluindo o nome do pacote, as versões afetadas e a versão corrigida (quando disponível)
  • Etapas de correção

Disponibilidade

Atualmente, Dependabot malware alerts estão disponíveis para pacotes no ecossistema npm.

Notificações de alerta

Por padrão, GitHub envia notificações por email sobre novos alertas para as pessoas que:

  • Ter permissões de escrita, manutenção ou administração em um repositório
  • Estão assistindo ao repositório e habilitaram notificações para alertas de segurança ou para todas as atividades no repositório

Em GitHub.com, é possível alterar o comportamento padrão escolhendo o tipo de notificações que deseja receber ou desativar completamente as notificações na página de configurações para as notificações do usuário em https://github.com/settings/notifications.

Se você estiver preocupado em receber muitas notificações, recomendamos usar as regras de triagem automática do Dependabot para descartar automaticamente alertas de baixo risco. Consulte Sobre as regras de triagem automática do Dependabot.

Limitações

Dependabot malware alerts têm algumas limitações:

  • Os alertas não podem detectar todos os problemas de segurança. Sempre examine suas dependências e mantenha arquivos de manifesto e de bloqueio atualizados para detecção precisa.
  • Novos malwares podem levar tempo para aparecer no GitHub Advisory Database e emitir alertas.
  • Somente os avisos revisados por GitHub disparam alertas.
  • Dependabot não verifica repositórios arquivados.
  • Para GitHub Actions, os alertas são gerados apenas para ações que usam versionamento semântico, não versionamento SHA.

GitHub nunca divulga publicamente dependências mal-intencionadas para qualquer repositório.

Próximas Etapas 

Para começar a proteger seu projeto contra dependências mal-intencionadas, consulte Configurando alertas de malware Dependabot.