Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para acessar as informações mais atualizadas, visite a Documentação em inglês.
 

 

Sobre as atualizações de segurança do Dependabot

Neste artigo

Dependabot pode corrigir dependências vulneráveis para você, levantando pull requests com atualizações de segurança.

Sobre as Dependabot security updates

Dependabot security updates torna mais fácil para você corrigir dependências vulneráveis no seu repositório. Se você habilitar este recurso, quando um alerta de Dependabot for criado para uma dependência vulnerável no gráfico de dependências do seu repositório, Dependabot tenta corrigir isso automaticamente. Para obter mais informações, confira "Sobre os Dependabot alerts" e "Sobre as Dependabot security updates".

GitHub pode enviar Dependabot alerts para repositórios afetados por uma vulnerabilidade revelada por uma consultoria de segurança de GitHub recentemente publicada. Para obter mais informações, confira "Procurar avisos de segurança no GitHub Advisory Database".

Dependabot verifica se é possível atualizar a dependência vulnerável para uma versão fixa sem comprometer o gráfico de dependências para o repositório. Em seguida, Dependabot levanta um pull request para atualizar a dependência para a versão mínima que inclui o patch e os links do pull request para o alerta de Dependabot ou relata um erro no alerta. Para obter mais informações, confira "Solução de problemas de erros do Dependabot".

O recurso de Dependabot security updates está disponível para repositórios nos quais você habilitou o gráfico de dependências e Dependabot alerts. Você verá um alerta de Dependabot para cada dependência vulnerável identificada no seu gráfico de dependências completas. No entanto, atualizações de segurança são acionadas apenas para dependências especificadas em um manifesto ou arquivo de bloqueio. Para obter mais informações, confira "Sobre o grafo de dependência".

Observação: para o npm, o Dependabot gerará uma solicitação de pull a fim de atualizar uma dependência definida explicitamente para uma versão segura, mesmo que isso signifique atualizar a(s) dependência(s) pai ou mesmo remover uma subdependência que não é mais necessária para a dependência pai. Para outros ecossistemas, Dependabot não poderá atualizar uma dependência indireta ou transitiva se isso também exigir uma atualização na dependência pai. Para saber mais, confira "O Dependabot tenta atualizar as dependências sem um alerta".

Você pode habilitar um recurso relacionado, Dependabot version updates, para que Dependabot abra pull requests para atualizar o manifesto para a última versão da dependência, sempre que detectar uma dependência desatualizada. Para obter mais informações, confira "Sobre as Dependabot".

Quando o Dependabot gera solicitações de pull, essas solicitações de pull podem ser referentes a atualizações de segurança ou de versão:

  • As Dependabot security updates são solicitações de pull automatizadas que ajudam você a atualizar as dependências com vulnerabilidades conhecidas.
  • As Dependabot version updates são solicitações de pull automatizadas que mantêm suas dependências atualizadas, mesmo quando elas não têm nenhuma vulnerabilidade. Para verificar o status das atualizações da versão, acesse a aba Insights do seu repositório e, em seguida, gráfico de dependência e Dependabot.

O GitHub Actions não é necessário para que Dependabot version updates e Dependabot security updates sejam executadas no GitHub. No entanto, as solicitações de pull abertas pelo Dependabot podem disparar fluxos de trabalho que executam ações. Para obter mais informações, confira "Como automatizar o Dependabot com GitHub Actions".

Dependabot security updates pode corrigir dependências vulneráveis no GitHub Actions. Quando as atualizações de segurança estiverem habilitadas, o Dependabot gerará automaticamente uma solicitação de pull para atualizar dados vulneráveis do GitHub Actions usados em seus fluxos de trabalho para a versão mínima corrigida.

Sobre os pull requests para atualizações de segurança

Cada pull request contém tudo o que você precisa para revisar mesclar, de forma rápida e segura, uma correção proposta em seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Detalhes de quais vulnerabilidades são resolvidas por um pull request de qualquer pessoa que não tem acesso a Dependabot alerts para o repositório.

Ao fazer merge de um pull request que contém uma atualização de segurança, o alerta de Dependabot correspondente é marcado como resolvido no seu repositório. Para obter mais informações sobre as solicitações de pull do Dependabot, confira "Como gerenciar as solicitações de pull para atualizações de dependência".

Observação: é uma prática recomendada ter testes automatizados e processos de aceitação em vigor para que as verificações sejam realizadas antes do merge da solicitação de pull. Isso é especialmente importante se a versão sugerida a ser atualizada contiver funcionalidades adicionais ou se uma mudança que quebrar o código do seu projeto. Para obter mais informações sobre a integração contínua, confira "Sobre a integração contínua".

Sobre pontuações de compatibilidade

O Dependabot security updates pode incluir uma pontuação de compatibilidade para que você saiba se atualizar uma dependência poderá causar alterações significativas no seu projeto. Estes são calculados a partir de testes de CI em outros repositórios públicos onde a mesma atualização de segurança foi gerada. Uma pontuação de compatibilidade da atualização é a porcentagem de execuções de CI que foram aprovadas durante a atualização entre versões específicas da dependência.

Sobre notificações para atualizações de segurança de Dependabot

Você pode filtrar suas notificações em GitHub para mostrar as atualizações de segurança de Dependabot. Para obter mais informações, confira "Como gerenciar notificações na sua caixa de entrada".