Visualizando e atualizando alertas do Dependabot

Se o GitHub descobrir dependências inseguras no seu projeto, você poderá visualizá-las na guia de alertas do Dependabot no seu repositório. Você pode atualizar seu projeto para resolver ou descartar o alerta.

Quem pode usar esse recurso?

  • Administradores de repositório, proprietários de organizações e pessoas com acesso de gravação ou manutenção
  • Usuários e equipes com acesso explícito. Confira Permitir acesso a alertas de segurança.

Neste artigo

Observação

O administrador do site precisa configurar as Dependabot updates do sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Talvez você não consiga habilitar ou desabilitar Dependabot updates se um proprietário da empresa tiver definido uma política no nível da empresa. Para saber mais, confira Como impor políticas para segurança e análise de código na empresa.

A guia Dependabot alerts do repositório lista todos os Dependabot alerts abertos e fechados e as Dependabot security updates correspondentes. Você pode filtrar os alertas por pacote, ecossistema ou manifesto. Você pode classificar a lista de alertas, além de poder clicar em alertas específicos para mais detalhes. Você também pode descartar ou reabrir alertas, um a um ou selecionando vários alertas de uma só vez. Para saber mais, confira Sobre alertas do Dependabot.

Sobre atualizações para dependências vulneráveis no seu repositório

Cada alerta de Dependabot tem um identificador único de número e a aba de Dependabot alerts lista um alerta para cada vulnerabilidade detectada. O legado de Dependabot alerts agrupou as vulnerabilidades por dependência e gerou um único alerta por dependência. Se você acessar um alerta de legado Dependabot, você será redirecionado para uma aba de Dependabot alerts filtrada para esse pacote.

Você pode filtrar e classificar Dependabot alerts usando uma variedade de filtros e opções de classificação disponíveis na interface do usuário. Para saber mais, confira Como exibir e priorizar Dependabot alerts abaixo.

Você também pode auditar as ações executadas em resposta aos alertas do Dependabot. Para saber mais, confira Alertas de segurança de auditoria.

Como ver e priorizar Dependabot alerts

Você pode exibir, classificar e filtrar Dependabot alerts para se concentrar nos alertas mais importantes.

Por padrão, os alertas são classificados pelo Mais importante, o que ajuda você a priorizar correções com base em fatores como impacto potencial, a ação e relevância. Essa priorização é continuamente aprimorada e considera sinais como pontuação CVSS, âmbito de dependência e se são detectadas chamadas de funções vulneráveis.

Você pode exibir todos os Dependabot alerts abertos e fechados e as Dependabot security updates correspondentes na guia Dependabot alerts do seu repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Security. Caso não consiga ver a guia "Security", selecione o menu suspenso e clique em Security.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral "Alertas de vulnerabilidade" da visão geral de segurança, clique em Dependabot . Se essa opção está ausente, isso significa que você não tem acesso aos alertas de segurança e precisa receber o acesso. Para obter mais informações, confira Gerenciando as configurações de segurança e análise do repositório.

    Captura de tela da visão geral de segurança, com a guia "Dependabot" realçada com um contorno laranja escuro.

  4. Opcionalmente, refinar a lista de alertas:

    • Use os menus suspensos na parte de cima da lista para classificar ou filtrar alertas.

      Captura de tela dos menus de filtro e classificação na guia dos Dependabot alerts.

    • Digite diretamente na barra de pesquisa para filtrar alertas, incluindo a pesquisa de texto completo entre detalhes do alerta e avisos de segurança relacionados.

    • Clique em um rótulo em um alerta para filtrar automaticamente a lista por esse rótulo.

    • Para identificar alertas que afetam as dependências de desenvolvimento, filtre pelo scope:development filtro ou procure alertas rotulados como "Desenvolvimento". Isso pode ajudá-lo a priorizar alertas que afetam as dependências de produção primeiro.

      Captura de tela mostrando o rótulo "Desenvolvimento" atribuído a um alerta na lista de alertas.

  5. Clique em um alerta para exibir seus detalhes. Os alertas para dependências com escopo de desenvolvimento incluem um rótulo "Desenvolvimento" na seção "Etiquetas" na página de detalhes do alerta.

    Captura de tela mostrando a seção "Marcas" na página de detalhes do alerta.

  6. Opcionalmente, para sugerir um aprimoramento na consultoria de segurança relacionada, no lado direito da página de detalhes do alerta, clique em Sugerir aprimoramentos para essa consultoria no GitHub Advisory Database . Confira Editando consultorias de segurança no banco de dados consultivo do GitHub.

Dicas para priorizar alertas

  • Use a ordem de classificação mais importante para se concentrar em alertas com o maior impacto potencial.
  • Priorize alertas que afetam as dependências de produção em comparação com as dependências de desenvolvimento.
  • Use Regras de triagem automática do Dependabot para priorizar ou gerenciar alertas automaticamente. Confira Sobre as regras de triagem automática do Dependabot.

Para saber mais sobre ecossistemas compatíveis e arquivos de manifesto para escopo de dependência, consulte Ecossistemas e manifestos com suporte para escopo de dependência.

Para obter uma lista completa de filtros disponíveis, consulte Filtros de alerta Dependabot.

Para recuperar alertas programaticamente, consulte o Pontos de extremidade da API REST para o Dependabot alerts.

Revisão e correção de alertas

Você pode examinar os detalhes de um alerta do Dependabot para entender a vulnerabilidade e como corrigi-la.

Corrigir dependências vulneráveis

  1. Exiba os detalhes de um alerta. Para saber mais, confira Como exibir e priorizar Dependabot alerts (acima).

  2. Se você tiver a opção Dependabot security updates habilitada, poderá haver um link para uma solicitação de pull que corrigirá a dependência. Como alternativa, você pode clicar em Criar atualização de segurança Dependabot na parte superior da página de detalhes do alerta para criar uma solicitação de pull.

    Captura de tela de um alerta do Dependabot com o botão "Criar atualização de segurança do Dependabot" realçado com um contorno laranja escuro.

  3. Opcionalmente, se você não usar Dependabot security updates, poderá usar as informações na página para decidir para qual versão da dependência atualizar e criar uma solicitação de pull para atualizar a dependência para uma versão segura.

  4. Quando estiver pronto para atualizar a dependência e resolver a vulnerabilidade, faça merge da pull request.

    Cada solicitação de pull gerada pelo Dependabot inclui informações sobre os comandos que você pode usar para controlar o Dependabot. Para saber mais, confira Gerenciar pull requests para atualizações de dependências.

Ignorar Dependabot alerts

Observação

Você só pode ignorar alertas em aberto.

Se você agendar um trabalho extensivo para atualizar uma dependência ou decidir que um alerta não precisa ser corrigido, poderá ignorar o alerta. Ignorar alertas que você já avaliou facilita a triagem de novos alertas à medida que aparecem.

  1.        [Como ver e priorizar Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (acima).

  2. Selecione a lista suspensa "Ignorar" e clique em um motivo para ignorar o alerta. Alertas ignorados não corrigidos podem ser reabertos em outro momento.

  3. Opcionalmente, adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode recuperar ou definir um comentário usando a API do GraphQL. O comentário está contido no campo dismissComment. Para obter mais informações, confira Objetos na documentação da API do GraphQL.

    Captura de tela de uma página de alerta do Dependabot, com a lista suspensa "Ignorar" e a opção de adicionar um comentário destacada em laranja.

  4. Clique em Ignorar alerta.

Ignorar múltiplos alertas de uma vez

  1. Exibição dos Dependabot alerts em aberto.

  2. Opcionalmente, filtre a lista de alertas selecionando um menu suspenso e clique no filtro que você deseja aplicar. Você também pode digitar filtros na barra de pesquisa.

  3. À esquerda de cada título de alerta, selecione os alertas que você deseja ignorar.

           ![Captura de tela da exibição do Dependabot alerts. Dois alertas são selecionados e essas caixas de seleção são realçadas com um contorno laranja.](/assets/images/help/graphs/select-multiple-alerts.png)

  4. Opcionalmente, na parte superior da lista de alertas, selecione todos os alertas na página.

           ![Captura de tela da seção de cabeçalho da exibição do Dependabot alerts. A caixa de seleção "Selecionar tudo" está realçada com um contorno laranja escuro.](/assets/images/help/graphs/select-all-alerts.png)

  5. Selecione a lista suspensa "Ignorar alertas" e clique em um motivo para ignorar os alertas.

           ![Captura de tela de uma lista de alertas. Abaixo do botão "Ignorar alertas", uma lista suspensa rotulada como "Selecionar um motivo para ignorar" está expandida.](/assets/images/help/graphs/dismiss-multiple-alerts.png)

Visualizando e atualizando alertas fechados

Você pode visualizar todos os alertas abertos e reabrir alertas que foram descartados anteriormente. Alertas fechados que já foram corrigidos não poderão ser reabertos.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Security. Caso não consiga ver a guia "Security", selecione o menu suspenso e clique em Security.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral "Alertas de vulnerabilidade" da visão geral de segurança, clique em Dependabot . Se essa opção está ausente, isso significa que você não tem acesso aos alertas de segurança e precisa receber o acesso. Para obter mais informações, confira Gerenciando as configurações de segurança e análise do repositório.

    Captura de tela da visão geral de segurança, com a guia "Dependabot" realçada com um contorno laranja escuro.

  4. Para ver apenas os alertas fechados, clique em Fechados.

    Captura de tela que mostra a lista de Dependabot alerts com a guia "Fechado" realçada com um contorno laranja escuro.

  5. Clique no alerta que deseja ver ou atualizar.

  6. Opcionalmente, se o alerta foi ignorado e você deseja reabri-lo, clique em Reabrir. Alertas que já foram corrigidos não poderão ser reabertos.

    Captura de tela mostrando um alerta de Dependabot fechado. Um botão intitulado "Reabrir" está realçado com um contorno laranja escuro.

Reabrir múltiplos alertas de uma vez

  1. Exibir os Dependabot alerts fechados.

  2. À esquerda de cada título de alerta, selecione os alertas que você deseja reabrir clicando na caixa de seleção adjacente a cada alerta.

  3. Opcionalmente, na parte superior da lista de alertas, selecione todos os alertas fechados na página.

           ![Captura de tela de alertas na guia "Fechado". A caixa de seleção "Selecionar tudo" está destacada em laranja-escuro.](/assets/images/help/graphs/select-all-closed-alerts.png)

  4. Clique em Reabrir para reabrir os alertas. Alertas que já foram corrigidos não poderão ser reabertos.

Revisão dos logs de auditoria do Dependabot alerts

Quando um membro da sua organização ou empresa executa uma ação relacionada ao Dependabot alerts, você pode examiná-las no log de auditoria. Para saber mais sobre como acessar o log, confira Revisar o log de auditoria da organização e Como acessar o log de auditoria da sua empresa.

Captura de tela do log de auditoria mostrando os alertas do Dependabot.

Os eventos no log de auditoria do Dependabot alerts incluem detalhes da ação, como quem a executou, qual foi executada e quando. O evento também inclui um link para o próprio alerta. Quando um membro da sua organização ignora um alerta, o evento mostra o motivo e um comentário. Para saber mais sobre as ações de Dependabot alerts, confira a categoria repository_vulnerability_alert em Eventos de registro de auditoria para a sua organização e Auditar eventos de log para sua empresa.