Visualizando e atualizando alertas do Dependabot

Se GitHub descobrir dependências inseguras em seu projeto, você poderá ver detalhes na guia de alertas do Dependabot do repositório. Você pode atualizar seu projeto para resolver ou descartar o alerta.

Quem pode usar esse recurso?

  • Administradores de repositório, proprietários de organizações e pessoas com acesso de gravação ou manutenção
  • Usuários e equipes com acesso explícito. Confira Permitir acesso a alertas de segurança.

Neste artigo

A guia Dependabot alerts do repositório lista todas as Dependabot alerts abertas e fechadas, bem como as correspondentes Dependabot security updates. Você pode filtrar os alertas por pacote, ecossistema ou manifesto. Você pode classificar a lista de alertas, além de poder clicar em alertas específicos para mais detalhes. Você também pode descartar ou reabrir alertas, um a um ou selecionando vários alertas de uma só vez. Para saber mais, confira Sobre alertas do Dependabot.

Sobre atualizações para dependências vulneráveis no seu repositório

Cada Dependabot alerta tem um identificador numérico exclusivo e a Dependabot alerts guia lista um alerta para cada vulnerabilidade detectada. Vulnerabilidades Dependabot alerts agrupadas por dependência no sistema legado e gerava um único alerta para cada dependência. Se você navegar até um alerta antigo Dependabot, será redirecionado para uma Dependabot alerts aba filtrada para esse pacote.

Você pode filtrar e classificar Dependabot alerts usando uma variedade de filtros e opções de classificação disponíveis na interface do usuário. Para obter mais informações, consulte Exibição e priorização Dependabot alerts abaixo.

Você também pode auditar as ações executadas em resposta aos Dependabot alertas. Para saber mais, confira Alertas de segurança de auditoria.

Exibindo e priorizando Dependabot alerts

Você pode exibir, classificar e filtrar Dependabot alerts para se concentrar nos alertas mais importantes.

Por padrão, os alertas são classificados pelo Mais importante, o que ajuda você a priorizar correções com base em fatores como impacto potencial, a ação e relevância. Essa priorização é continuamente aprimorada e considera sinais como pontuação CVSS, âmbito de dependência e se são detectadas chamadas de funções vulneráveis.

Você pode exibir todos os Dependabot alerts abertos e fechados e as Dependabot security updates correspondentes na guia Dependabot alerts do seu repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Security. Caso não consiga ver a guia "Security", selecione o menu suspenso e clique em Security.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na seção "Descobertas" da barra lateral, selecione o Dependabot menu suspenso e clique em Vulnerabilidades.

  4. Opcionalmente, refinar a lista de alertas:

    • Use os menus suspensos na parte de cima da lista para classificar ou filtrar alertas.

      Captura de tela dos menus de filtro e classificação na guia dos Dependabot alerts.

    • Digite diretamente na barra de pesquisa para filtrar alertas, incluindo a pesquisa de texto completo entre detalhes do alerta e avisos de segurança relacionados.

    • Clique em um rótulo em um alerta para filtrar automaticamente a lista por esse rótulo.

    • Para identificar alertas que afetam as dependências de desenvolvimento, filtre pelo scope:development filtro ou procure alertas rotulados como "Desenvolvimento". Isso pode ajudá-lo a priorizar alertas que afetam as dependências de produção primeiro.

      Captura de tela mostrando o rótulo "Desenvolvimento" atribuído a um alerta na lista de alertas.

  5. Clique em um alerta para exibir seus detalhes. Os alertas para dependências com escopo de desenvolvimento incluem um rótulo "Desenvolvimento" na seção "Etiquetas" na página de detalhes do alerta.

    Captura de tela mostrando a seção "Marcas" na página de detalhes do alerta.

  6. No painel direito, selecione um responsável usando a lista suspensa Assignees. Você pode atribuir o alerta a um usuário ou equipe para estabelecer uma propriedade clara ou atribuí-lo para Copilot gerar automaticamente uma correção. Isso deixa claro quem é responsável por triar o alerta e ajuda a evitar análises repetitivas. Ele também garante que os alertas não sejam perdidos.

  7. Opcionalmente, para sugerir uma melhoria no aviso de segurança relacionado, no lado direito da página de detalhes do alerta, clique em Sugerir melhorias para este aviso no GitHub Advisory Database. Confira Editando consultorias de segurança no banco de dados consultivo do GitHub.

Dicas para priorizar alertas

  • Use a ordem de classificação mais importante para se concentrar em alertas com o maior impacto potencial.
  • Priorize alertas que afetam as dependências de produção em relação às dependências de desenvolvimento.
  • Use o recurso Assignees para esclarecer quem é responsável por lidar com cada alerta, para que sua equipe possa acompanhar e corrigir vulnerabilidades com mais eficiência.
  • Use Regras de triagem automática do Dependabot para priorizar ou gerenciar alertas automaticamente. Confira Sobre as regras de triagem automática do Dependabot.

Para saber mais sobre ecossistemas compatíveis e arquivos de manifesto para escopo de dependência, consulte Ecossistemas e manifestos com suporte para escopo de dependência.

Para obter uma lista completa de filtros disponíveis, consulte Filtros de alerta Dependabot.

Para recuperar alertas programaticamente, consulte o Pontos de extremidade da API REST para o Dependabot alerts.

Revisão e correção de alertas

Você pode examinar os detalhes de um Dependabot alerta para entender a vulnerabilidade e como corrigi-la.

Corrigir dependências vulneráveis

  1. Exiba os detalhes de um alerta. Para obter mais informações, consulte Exibição e priorização Dependabot alerts (acima).

  2. Se você tiver Dependabot security updates habilitado, pode haver um link para uma solicitação de pull que corrigirá a dependência. Como alternativa, você pode clicar em Criar Dependabot atualização de segurança na parte superior da página de detalhes do alerta para criar uma solicitação de pull.

    Captura de tela de um alerta do Dependabot com o botão "Criar atualização de segurança do Dependabot" realçado com um contorno laranja escuro.

  3. Opcionalmente, se você não usar Dependabot security updates, poderá usar as informações na página para decidir para qual versão da dependência atualizar e criar uma solicitação de pull para atualizar a dependência para uma versão segura.

  4. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request.

    Cada pull request criado por Dependabot inclui informações sobre comandos que você pode usar para controlar Dependabot. Para saber mais, confira Gerenciar pull requests para atualizações de dependências.

Demitir Dependabot alerts

Observação

Você só pode ignorar alertas em aberto.

Se você agendar um trabalho extensivo para atualizar uma dependência ou decidir que um alerta não precisa ser corrigido, poderá ignorar o alerta. Ignorar alertas que você já avaliou facilita a triagem de novos alertas à medida que aparecem.

  1.        [Exibindo e priorizando Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (acima).

  2. Selecione a lista suspensa "Ignorar" e clique em um motivo para ignorar o alerta. Alertas ignorados não corrigidos podem ser reabertos em outro momento.

  3. Opcionalmente, adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode recuperar ou definir um comentário usando a API do GraphQL. O comentário está contido no campo dismissComment. Para obter mais informações, confira Objetos na documentação da API do GraphQL.

    Captura de tela de uma página de alerta do Dependabot, com a lista suspensa "Ignorar" e a opção de adicionar um comentário destacada em laranja.

  4. Clique em Ignorar alerta.

Ignorar múltiplos alertas de uma vez

  1. Visualizar o Dependabot alerts aberto.

  2. Opcionalmente, filtre a lista de alertas selecionando um menu suspenso e clique no filtro que você deseja aplicar. Você também pode digitar filtros na barra de pesquisa.

  3. À esquerda de cada título de alerta, selecione os alertas que você deseja ignorar.

           ![Captura de tela da exibição do Dependabot alerts. Dois alertas são selecionados e essas caixas de seleção são realçadas com um contorno laranja.](/assets/images/help/graphs/select-multiple-alerts.png)

  4. Opcionalmente, na parte superior da lista de alertas, selecione todos os alertas na página.

           ![Captura de tela da seção de cabeçalho da exibição do Dependabot alerts. A caixa de seleção "Selecionar tudo" está realçada com um contorno laranja escuro.](/assets/images/help/graphs/select-all-alerts.png)

  5. Selecione a lista suspensa "Ignorar alertas" e clique em um motivo para ignorar os alertas.

           ![Captura de tela de uma lista de alertas. Abaixo do botão "Ignorar alertas", uma lista suspensa rotulada como "Selecionar um motivo para ignorar" está expandida.](/assets/images/help/graphs/dismiss-multiple-alerts.png)

Visualizando e atualizando alertas fechados

Você pode visualizar todos os alertas abertos e reabrir alertas que foram descartados anteriormente. Alertas fechados que já foram corrigidos não poderão ser reabertos.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Security. Caso não consiga ver a guia "Security", selecione o menu suspenso e clique em Security.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na seção "Descobertas" da barra lateral, selecione o Dependabot menu suspenso e clique em Vulnerabilidades.

  4. Para ver apenas os alertas fechados, clique em Fechados.

    Captura de tela que mostra a lista de Dependabot alerts com a guia "Fechado" realçada com um contorno laranja escuro.

  5. Clique no alerta que deseja ver ou atualizar.

  6. Opcionalmente, se o alerta foi ignorado e você deseja reabri-lo, clique em Reabrir. Alertas que já foram corrigidos não poderão ser reabertos.

    Captura de tela mostrando um alerta de Dependabot fechado. Um botão intitulado "Reabrir" está realçado com um contorno laranja escuro.

Reabrir múltiplos alertas de uma vez

  1. Exibir o fechado Dependabot alerts.

  2. À esquerda de cada título de alerta, selecione os alertas que você deseja reabrir clicando na caixa de seleção adjacente a cada alerta.

  3. Opcionalmente, na parte superior da lista de alertas, selecione todos os alertas fechados na página.

           ![Captura de tela de alertas na guia "Fechado". A caixa de seleção "Selecionar tudo" está destacada em laranja-escuro.](/assets/images/help/graphs/select-all-closed-alerts.png)

  4. Clique em Reabrir para reabrir os alertas. Alertas que já foram corrigidos não poderão ser reabertos.

Revisar os logs de auditoria para Dependabot alerts

Quando um membro da sua organização executa uma ação relacionada Dependabot alerts, você pode examinar as ações no log de auditoria. Para obter mais informações sobre como acessar o log, consulte Revisar o log de auditoria da organização.

Captura de tela do log de auditoria mostrando os alertas do Dependabot.

Os eventos no seu log de auditoria Dependabot alerts contêm detalhes como quem realizou a ação, qual ação foi realizada e quando foi feita. O evento também inclui um link para o próprio alerta. Quando um membro da sua organização ignora um alerta, o evento mostra o motivo e um comentário. Para obter informações sobre as Dependabot alerts ações, consulte a repository_vulnerability_alert categoria em Eventos de registro de auditoria para a sua organização.