Guia de início rápido do Dependabot

Encontre e corrija dependências vulneráveis das quais você depende com Dependabot.

Quem pode usar esse recurso?

Dependabot alerts estão disponíveis para repositórios de organizações e usuários.

Neste artigo

Sobre o Dependabot

Este guia de início rápido orienta você na configuração e habilitação de Dependabot, exibição de Dependabot alerts e atualização do repositório para usar uma versão segura da dependência.

O Dependabot consiste em três recursos diferentes que ajudam você a gerenciar dependências:

  • Dependabot alerts: informam você sobre vulnerabilidades nas dependências usadas em um repositório.
  • Dependabot security updates: geram automaticamente pull requests para atualizar as dependências usadas que possuem vulnerabilidades de segurança conhecidas.
  • Dependabot version updates: geram automaticamente pull requests para manter suas dependências atualizadas.

Pré-requisitos

Para este guia, vamos usar um repositório de demonstração para ilustrar como Dependabot localiza vulnerabilidades em dependências, onde você pode ver Dependabot alerts em GitHub, e como você pode explorar, corrigir ou ignorar esses alertas.

Você precisa começar criando um fork no repositório de demonstração.

  1. Navegue até https://github.com/dependabot/demo.
  2. Na parte superior da página, à direita, clique em Fork.
  3. Selecione um proprietário (você pode selecionar sua GitHub conta pessoal) e digite um nome de repositório. Para saber como criar fork em repositórios, confira Fazer um fork de um repositório.
  4. Clique em Criar bifurcação.

Habilitando Dependabot para seu repositório

É necessário seguir as etapas abaixo no repositório em que você fez um fork em Pré-requisitos.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em "Dependabot", clique em Habilitar para Dependabot alerts, Dependabot security updatese Dependabot version updates.

  5. Se você clicou em Habilitar para Dependabot version updates, você pode editar o arquivo de configuração padrão dependabot.yml que GitHub cria para você no diretório /.github do seu repositório. Para habilitar Dependabot version updates seu repositório, você normalmente configura esse arquivo para atender às suas necessidades editando o arquivo padrão e confirmando suas alterações. É possível conferir o trecho fornecido em Configuração de atualizações de versão do Dependabot para obter um exemplo.

Observação

Se o grafo de dependência ainda não estiver habilitado para o repositório, GitHub habilite-o automaticamente quando você habilitar Dependabot.

Para obter mais informações sobre como configurar cada um desses Dependabot recursos, consulte Configurando alertas do Dependabot, Configuração de atualizações de segurança do Dependabot e Configuração de atualizações de versão do Dependabot.

Exibindo Dependabot alerts seu repositório

Se Dependabot alerts estiver habilitado para um repositório, você poderá exibir Dependabot alerts na guia Security and quality do repositório. Você pode usar o repositório clonado que você habilitou Dependabot alerts na seção anterior.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Security. Caso não consiga ver a guia "Security", selecione o menu suspenso e clique em Security.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na seção "Descobertas" da barra lateral, selecione o Dependabot menu suspenso e clique em Vulnerabilidades.

  4. Revise os alertas abertos na página Dependabot alerts. Por padrão, a página exibe a guia Aberto , listando os alertas abertos. (É possível exibir qualquer alerta fechado clicando em Fechado).

    Captura de tela da lista de alertas do Dependabot para o repositório de demonstração.

    Você pode filtrar Dependabot alerts na lista usando uma variedade de filtros ou rótulos. Para saber mais, confira Visualizando e atualizando alertas do Dependabot. Você também pode usar Regras de triagem automática do Dependabot para filtrar alertas falsos positivos ou alertas nos quais você não está interessado. Para saber mais, confira Sobre as regras de triagem automática do Dependabot.

  5. Clique no alerta "Injeção de comando em lodash" no arquivo javascript/package-lock.json. A página de detalhes do alerta mostrará as seguintes informações (observe que algumas podem não se aplicar a todos os alertas):

    • Se Dependabot criou uma solicitação de pull que corrigirá a vulnerabilidade. É possível examinar a atualização de segurança sugerida clicando em Examinar atualização de segurança.
    • Pacote envolvido
    • Versões afetadas
    • Versão corrigida
    • Breve descrição da vulnerabilidade

    Captura de tela da página detalhada de um alerta no repositório de demonstração, mostrando as principais informações.

  6. Opcionalmente, também é possível explorar as informações no lado direito da página. Algumas das informações mostradas na captura de tela podem não se aplicar a todos os alertas.

    • Severity
    • Métricas de CVSS: usamos níveis de CVSS para atribuir níveis de severidade. Para saber mais, confira Sobre o banco de dados de avisos do GitHub.
    • Etiquetas
    • Fraquezas: lista de CWEs relacionados à vulnerabilidade, se aplicável
    • ID de CVE: identificador exclusivo de CVE para a vulnerabilidade, se aplicável
    • ID de GHSA: identificador exclusivo do aviso correspondente no GitHub Advisory Database. Para saber mais, confira Sobre o banco de dados de avisos do GitHub.
    • Opção para navegar até o aviso no GitHub Advisory Database
    • Opção para ver todos os repositórios afetados por esta vulnerabilidade
    • Opção para sugerir melhorias para este aviso sobre o GitHub Advisory Database

    Captura de tela da página detalhada de um alerta no repositório de demonstração, mostrando as informações exibidas no lado direito da página.

Para obter mais informações sobre exibição, priorização e classificação Dependabot alerts, consulte Visualizando e atualizando alertas do Dependabot.

Corrigindo ou descartando um Dependabot alerta

Você pode corrigir ou ignorar Dependabot alerts em GitHub. Vamos continuar a usar o repositório bifurcado como exemplo e o alerta "Command Injection em lodash" descrito na seção anterior.

  1. Navegue até a aba Dependabot alerts do repositório. Para obter mais informações, consulte a seção Exibição Dependabot alerts do repositório acima.
  2. Clique em um alerta.
  3. Clique no alerta "Injeção de comando em lodash" no arquivo javascript/package-lock.json.
  4. Examine o alerta. É possível:

    • Examine a atualização de segurança sugerida clicando em Examinar atualização de segurança. Isso abrirá o pull request gerado por Dependabot com a correção de segurança.

      Captura de tela da solicitação de pull gerada pelo Dependabot para corrigir a vulnerabilidade de segurança destacada pelo alerta selecionado.

      • Na descrição da solicitação de pull, é possível clicar em Commits para explorar os commits incluídos nela.
      • Você também pode clicar Dependabot em comandos e opções para saber mais sobre os comandos que você pode usar para interagir com a solicitação de pull.
      • Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, integre a solicitação de pull.

    • Se você decidir que deseja ignorar o alerta:

      • Volte para a página de detalhes do alerta.

      • No canto superior direito, clique em Ignorar alerta.

        Captura de tela da página de detalhes do alerta com o botão Ignorar alerta, as opções do menu suspenso e a caixa de comentário de rejeição realçada com um contorno em laranja.

      • Selecione um motivo para ignorar o alerta.

      • Opcionalmente, adicione um comentário de dispensa. O comentário de descarte será adicionado ao cronograma do alerta e pode ser usado como justificativa em auditorias e relatórios.

      • Clique em Ignorar alerta. O alerta não aparecerá mais na guia Aberto da lista de alertas e será possível vê-lo na guia Fechado.

Para obter mais informações sobre revisão e atualização Dependabot alerts, consulte Visualizando e atualizando alertas do Dependabot.

Resolução de problemas

Poderá ser necessário solucionar problemas nos seguintes casos: * Dependabot é impedido de criar uma solicitação de pull para corrigir um alerta ou

  • As informações relatadas por Dependabot não são o que você espera.

Para saber mais, confira Erros do Dependabot e Detecção de dependência vulnerável, respectivamente.

Próximas etapas

Para obter mais informações sobre como configurar Dependabot atualizações, consulte Configuração de atualizações de segurança do Dependabot e Configuração de atualizações de versão do Dependabot.

Para obter mais informações sobre como configurar Dependabot para uma organização, consulte Configurando alertas do Dependabot.

Para obter mais informações sobre como exibir solicitações de pull abertas por Dependabot, consulte Gerenciar pull requests para atualizações de dependências.

Para obter mais informações sobre os avisos de segurança que contribuem para Dependabot alerts, consulte Como procurar avisos de segurança no GitHub Advisory Database.

Para obter mais informações sobre como configurar notificações sobre Dependabot alerts, consulte Configurando notificações para alertas do Dependabot.