Personalizando regras de triagem automática para priorizar alertas do Dependabot

Sobre o regras de triagem automática personalizadas

Você pode criar seus próprios Regras de triagem automática do Dependabot com base em metadados de alerta. Você pode optar por ignorar alertas automaticamente indefinidamente ou adiar alertas até que um patch fique disponível e especifique para qual Dependabot alerts deseja Dependabot abrir solicitações de pull. As regras são aplicadas antes que as notificações de alerta sejam enviadas, portanto, a criação de regras personalizadas que descartam alertas de baixo risco automaticamente reduzirá o ruído de notificação futura.

Como todas as regras criadas se aplicam a alertas futuros e atuais, você também pode usar Regras de triagem automática para gerenciar seus alertas em massa.

Os administradores do repositório podem criar regras de triagem automática personalizadas para seus repositórios. Isso requer GitHub Code Security.

Os proprietários da organização e os gerentes de segurança podem definir regras de triagem automática personalizadas no nível da organização e escolher se uma regra é imposta ou habilitada em todos os repositórios públicos e privados da organização.

• Imposta: se uma regra de alerta no nível da organização for "imposta", os administradores do repositório não poderão editar, desabilitar ou excluir a regra.
• Habilitada: se uma regra no nível da organização estiver "habilitada", os administradores do repositório ainda poderão desabilitar a regra para seu repositório.

Você pode criar regras para direcionar alertas usando os seguintes metadados:

• ID da CVE
• CWE
• Escopo da dependência (devDependency ou runtime)
• Ecossistema
• ID GHSA
• Caminho do manifesto (somente para regras no nível do repositório)
• Nome do pacote
• Disponibilidade do patch
• Severity
• Pontuação do EPSS

Noções básicas sobre como regras de triagem automática personalizadas e Dependabot security updates interagir

Você pode usar regras de triagem automática personalizadas para personalizar os Dependabot alerts para os quais deseja que Dependabot abra pull requests. No entanto, para que uma regra "abrir uma solicitação de pull" entre em vigor, você deve garantir que Dependabot security updates esteja desabilitado para o repositório (ou repositórios) aos quais a regra deve se aplicar.

Quando Dependabot security updates estiver habilitado para um repositório, Dependabot tentará abrir automaticamente solicitações de pull para resolver cada alerta aberto Dependabot que tenha um patch disponível. Se você preferir personalizar esse comportamento usando uma regra, deixe o Dependabot security updates desabilitado.

Para obter mais informações sobre como habilitar ou desabilitar Dependabot security updates um repositório, consulte Configuração de atualizações de segurança do Dependabot.

Adicionando regras de triagem automática personalizadas ao repositório

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Na seção "Dependabot", à direita de "Dependabot regras", clique em .

5. Clique em Nova regra.

6. Em "Nome da regra", descreva o que essa regra fará.

7. Em "Estado", use o menu suspenso para selecionar se a regra deve ser habilitada ou desabilitada para o repositório.

8. Em "Alertas de meta", selecione os metadados que deseja usar para filtrar os alertas.

9. Em "Regras", selecione a ação que deseja executar nos alertas que correspondem aos metadados.

   • Selecione Ignorar alertas para ignorar automaticamente alertas que correspondam aos metadados. Você pode optar por ignorar os alertas indefinidamente ou até que um patch esteja disponível.
   • Selecione Abrir uma solicitação de pull para resolver esse alerta se você quiser Dependabot sugerir alterações para resolver alertas que correspondam aos metadados direcionados. Observe que essa opção não estará disponível se você já tiver selecionado a opção de ignorar alertas indefinidamente ou se Dependabot security updates estiver habilitado nas configurações do repositório.

10. Clique em Criar regra.

Adicionando regras de triagem automática personalizadas à sua organização

Você pode adicionar regras de triagem automática personalizadas para todos os repositórios qualificados em sua organização. Para saber mais, confira Configurações de segurança globais para sua organização.

Editando ou excluindo regras de triagem automática personalizadas para seu repositório

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Na seção "Dependabot", à direita de "Dependabot regras", clique em .

5. Em "Regras de repositório", à direita da regra que você deseja editar ou excluir, clique em .

6. Para editar a regra, faça as alterações nos campos aplicáveis e clique em Salvar regra.

7. Para excluir a regra, em "Zona de perigo", clique em Excluir regra.

8. Na caixa de diálogo "Tem certeza de que deseja excluir esta regra?" revise as informações e clique em Excluir regra.

Editando ou excluindo regras de triagem automática personalizadas para sua organização

Você pode editar ou excluir regras de triagem automática personalizadas para todos os repositórios qualificados em sua organização. Para saber mais, confira Configurações de segurança globais para sua organização.