O software geralmente depende de pacotes de várias fontes, criando relações de dependência que podem, sem saber, introduzir vulnerabilidades de segurança. Quando seu código depende de pacotes com vulnerabilidades de segurança conhecidas, você se torna um destino para invasores que buscam explorar seu sistema, potencialmente obtendo acesso ao código, dados, clientes ou colaboradores. Dependabot alerts notifique você sobre dependências vulneráveis para que você possa atualizar para versões seguras e proteger seu projeto.
Quando Dependabot envia alertas
Dependabot verifica o branch padrão do repositório e envia alertas quando:
- Novos dados de assessoramento são sincronizados em GitHub a cada hora a partir de GitHub.com. Para saber mais, confira Como procurar avisos de segurança no GitHub Advisory Database.
- Seu gráfico de dependências muda — por exemplo, quando você envia commits que atualizam pacotes ou versões.
Para ecossistemas com suporte, consulte Ecossistemas de pacotes com suporte a gráficos de dependência.
Noções básicas sobre alertas
Quando GitHub detecta uma dependência vulnerável, um Dependabot alerta aparece na guia do repositório e no grafo de dependência do repositório Security. Cada alerta inclui:
- Um link para o arquivo afetado
- Detalhes sobre a vulnerabilidade e sua gravidade
- Informações sobre uma versão fixa (quando disponível)
Para obter informações sobre como exibir e gerenciar alertas, consulte Visualizando e atualizando alertas do Dependabot.
Quem pode habilitar alertas?
Os administradores de repositórios e proprietários de organizações podem habilitar Dependabot alerts para seus repositórios. Quando habilitado, GitHub gera imediatamente o grafo de dependência e cria alertas para quaisquer dependências vulneráveis identificadas por ele.
Os proprietários de empresa devem habilitar Dependabot alerts para o sua instância do GitHub Enterprise Server antes de usar esse recurso. Para saber mais, confira Habilitando o Dependabot para sua empresa.
Confira Configurando alertas do Dependabot.
Como funcionam as notificações de alerta
Por padrão, GitHub envia notificações por email sobre novos alertas para pessoas que:
- Ter permissões de escrita, manutenção ou administração em um repositório
- Estão assistindo ao repositório e habilitaram notificações para alertas de segurança ou para todas as atividades no repositório
Independentemente de suas preferências de notificação, quando Dependabot estiver habilitada pela primeira vez, GitHub não envia notificações para todas as dependências vulneráveis encontradas em seu repositório. Em vez disso, você receberá notificações para novas dependências vulneráveis identificadas após a habilitação de Dependabot, caso suas preferências de notificação permitam.
Se você estiver preocupado em receber muitas notificações, recomendamos aproveitar Regras de triagem automática do Dependabot para descartar automaticamente alertas de baixo risco. As regras são aplicadas antes que as notificações de alerta sejam enviadas, portanto, alertas que são descartados automaticamente após a criação não enviam notificações. Confira Sobre as regras de triagem automática do Dependabot.
Como alternativa, você pode optar pelo resumo semanal de e-mail ou até mesmo desativar completamente as notificações, mantendo o Dependabot alerts habilitado.
Limitações
Dependabot alerts têm algumas limitações:
-
Os alertas não podem detectar todos os problemas de segurança. Sempre examine suas dependências e mantenha arquivos de manifesto e de bloqueio atualizados para detecção precisa.
-
Novas vulnerabilidades podem levar tempo para aparecer no GitHub Advisory Database e gerar alertas.
-
Somente avisos revisados por GitHub disparam alertas.
-
Dependabot não verifica repositórios arquivados. -
Dependabot não gera alertas para malware. -
Para GitHub Actions, os alertas são gerados apenas para ações que usam versionamento semântico, não versionamento SHA.
Leitura adicional
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) -
[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)