Personalizando regras de triagem automática para priorizar alertas do Dependabot

Sobre regras de triagem automática personalizadas

Você pode criar suas próprias Regras de triagem automática do Dependabot com base em metadados de alerta. Você pode optar por ignorar alertas automaticamente por tempo indeterminado, ou adiar alertas até que um patch fique disponível, e você pode especificar quais Dependabot alerts você deseja para os quais o Dependabot deve abrir solicitações de pull. As regras são aplicadas antes que as notificações de alerta sejam enviadas, portanto, a criação de regras personalizadas que descartam alertas de baixo risco automaticamente reduzirá o ruído de notificação futura.

Como todas as regras criadas se aplicam a alertas futuros e atuais, você também pode usar Regras de triagem automática para gerenciar seus alertas em lote.

Os administradores do repositório podem criar regras de triagem automática personalizadas para seus repositórios. Para repositórios privados ou internos, isso requer o GitHub Code Security.

Os proprietários e gerentes de segurança da organização podem definir regras de triagem automática personalizadas no nível da organização e, em seguida, escolher se uma regra será imposta ou habilitada em todos os repositórios públicos e privados na organização.

•      **Imposta:** se uma regra de alerta no nível da organização for "imposta", os administradores do repositório não poderão editar, desabilitar ou excluir a regra.
  

•      **Habilitada:** se uma regra no nível da organização estiver "habilitada", os administradores do repositório ainda poderão desabilitar a regra para seu repositório.
  

Você pode criar regras para direcionar alertas usando os seguintes metadados:

• ID da CVE
• CWE
• Escopo da dependência (devDependency ou runtime)
• Ecossistema
• ID GHSA
• Caminho do manifesto (somente para regras no nível do repositório)
• Nome do pacote
• Disponibilidade do patch
• Severity
• Pontuação do EPSS

Reconhecer como as regras de triagem automática personalizadas e as Dependabot security updates interagem

Você pode usar regras de triagem automática personalizadas para personalizar quais Dependabot alerts você deseja que o Dependabot abra solicitações de pull. No entanto, para que uma regra "abrir uma pull request" entre em vigor, você deve garantir que as Dependabot security updates estejam desabilitadas para o repositório (ou repositórios) ao qual a regra deve ser aplicada.

Quando as Dependabot security updates estiverem habilitadas para um repositório, o Dependabot tentará automaticamente abrir pull requests para resolver todos os alertas abertos do Dependabot que tenham um patch disponível. Se você preferir personalizar esse comportamento usando uma regra, deverá deixar as Dependabot security updates desabilitadas.

Para obter mais informações sobre como habilitar ou desabilitar as Dependabot security updates para um repositório, confira Configuração de atualizações de segurança do Dependabot.

Adicionando regras de triagem automática personalizadas ao seu repositório

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Na seção "Dependabot", à direita de "Dependabot regras", clique em .

5. Clique em Nova regra.

6. Em "Nome da regra", descreva o que essa regra fará.

7. Em "Estado", use o menu suspenso para selecionar se a regra deve ser habilitada ou desabilitada para o repositório.

8. Em "Alertas de meta", selecione os metadados que deseja usar para filtrar os alertas.

9. Em "Regras", selecione a ação que deseja executar nos alertas que correspondem aos metadados.

   • Selecione Ignorar alertas para ignorar automaticamente alertas que correspondam aos metadados. Você pode optar por ignorar os alertas indefinidamente ou até que um patch esteja disponível.

   • Selecione Abrir uma pull request para resolver esse alerta se quiser que o Dependabot sugira alterações para resolver alertas que correspondam aos metadados de meta. Observe que essa opção não estará disponível se você já tiver selecionado a opção para ignorar alertas indefinidamente ou se Dependabot security updates estiverem ativados nas configurações do repositório.

     Observação

     Dependabot só abrirá pull requests para resolver Dependabot alerts, não Dependabot malware alerts.

10. Clique em Criar regra.

Adicionando regras de triagem automática personalizadas à sua organização

Você pode adicionar regras de triagem automática personalizadas para todos os repositórios elegíveis em sua organização. Para saber mais, confira Configurações de segurança globais para sua organização.

Editando ou excluindo regras de triagem automática personalizadas para seu repositório

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Na seção "Dependabot", à direita de "Dependabot regras", clique em .

5. Em "Regras do repositório", à direita da regra de alerta que você deseja editar ou excluir, clique em .

6. Para editar a regra, faça as alterações nos campos aplicáveis e clique em Salvar regra.

7. Para excluir a regra, em "Zona de perigo", clique em Excluir regra.

8. Na caixa de diálogo "Tem certeza de que deseja excluir esta regra?" revise as informações e clique em Excluir regra.

Editando ou excluindo regras de triagem automática personalizadas para a sua organização

Você pode editar ou excluir regras de triagem automática personalizadas para todos os repositórios elegíveis em sua organização. Para saber mais, confira Configurações de segurança globais para sua organização.