Enterprise Server 3.20 está disponível no momento como versão candidata a lançamento.

Personalizando regras de triagem automática para priorizar alertas do Dependabot

Você pode usar seus próprios Regras de triagem automática para controlar que alertas são ignorados ou colocados em ociosidade, e para que alertas você deseja que o Dependabot abra pull requests.

Quem pode usar esse recurso?

  • Proprietários da organização
  • Gerentes de segurança
  • Usuários com acesso de administrador (podem habilitar, desabilitar e exibir Regras de triagem automática para o repositório, além de criar regras de triagem automática personalizadas)

Predefinições do GitHub estão disponíveis para todos os tipos de repositório.

Regras de triagem automática personalizadas estão disponíveis para os seguintes tipos de repositório:

Neste artigo

Sobre regras de triagem automática personalizadas

Você pode criar suas próprias Regras de triagem automática do Dependabot com base em metadados de alerta. Você pode optar por ignorar alertas de forma automática indefinidamente ou adiá-los até que um patch fique disponível e pode especificar para quais alertas deseja que o Dependabot abra pull requests. As regras são aplicadas antes do envio de notificações de alerta, portanto, a criação de regras personalizadas que descartam automaticamente alertas de baixo risco reduzirá o ruído de notificações de alertas correspondentes futuros.

Como todas as regras criadas se aplicam a alertas futuros e atuais, você também pode usar Regras de triagem automática para gerenciar seus Dependabot alerts em massa.

Os administradores do repositório podem criar regras de triagem automática personalizadas para seus repositórios. Isso requer o GitHub Code Security.

Os proprietários e gerentes de segurança da organização podem definir regras de triagem automática personalizadas no nível da organização e, em seguida, escolher se uma regra será imposta ou habilitada em todos os repositórios públicos e privados na organização.

  •      **Imposta:** se uma regra de alerta no nível da organização for "imposta", os administradores do repositório não poderão editar, desabilitar ou excluir a regra.

  •      **Habilitada:** se uma regra no nível da organização estiver "habilitada", os administradores do repositório ainda poderão desabilitar a regra para seu repositório.

Observação

Caso uma regra de nível organizacional e uma regra de nível de repositório especifiquem comportamentos conflitantes, a ação definida pela regra de nível organizacional prevalecerá. As regras de ignorar sempre agem antes das regras que disparam pull requests para o Dependabot.

Você pode criar regras para direcionar alertas usando os seguintes metadados:

  • ID da CVE
  • CWE
  • Escopo da dependência (devDependency ou runtime)
  • Ecossistema
  • ID GHSA
  • Caminho do manifesto (somente para regras no nível do repositório)
  • Nome do pacote
  • Disponibilidade do patch
  • Severity
  • Pontuação do EPSS

Reconhecer como as regras de triagem automática personalizadas e as Dependabot security updates interagem

Você pode usar regras de triagem automática personalizadas para personalizar para quais alertas deseja que o Dependabot abra pull requests. No entanto, para que uma regra "abrir uma pull request" entre em vigor, você deve garantir que as Dependabot security updates estejam desabilitadas para o repositório (ou repositórios) ao qual a regra deve ser aplicada.

Quando as Dependabot security updates estiverem habilitadas para um repositório, o Dependabot tentará automaticamente abrir pull requests para resolver todos os alertas abertos do Dependabot que tenham um patch disponível. Se você preferir personalizar esse comportamento usando uma regra, deverá deixar as Dependabot security updates desabilitadas.

Para obter mais informações sobre como habilitar ou desabilitar as Dependabot security updates para um repositório, confira Configuração de atualizações de segurança do Dependabot.

Adicionando regras de triagem automática personalizadas ao seu repositório

Observação

Durante o versão prévia pública, você pode criar até 10 regras de triagem automática personalizadas para um repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em "Dependabot alerts", clique em perto de "Regras do Dependabot".

  5. Clique em Nova regra.

  6. Em "Nome da regra", descreva o que essa regra fará.

  7. Em "Estado", use o menu suspenso para selecionar se a regra deve ser habilitada ou desabilitada para o repositório.

  8. Em "Alertas de meta", selecione os metadados que deseja usar para filtrar os alertas.

  9. Em "Regras", selecione a ação que deseja executar nos alertas que correspondem aos metadados.

    • Selecione Ignorar alertas para ignorar automaticamente alertas que correspondam aos metadados. Você pode optar por ignorar os alertas indefinidamente ou até que um patch esteja disponível.
    • Selecione Abrir uma pull request para resolver esse alerta se quiser que o Dependabot sugira alterações para resolver alertas que correspondam aos metadados de meta. Observe que essa opção não estará disponível se você já tiver selecionado a opção para ignorar alertas indefinidamente ou se as Dependabot security updates estiverem habilitadas nas configurações do repositório.

  10. Clique em Criar regra.

Adicionando regras de triagem automática personalizadas à sua organização

Você pode adicionar regras de triagem automática personalizadas para todos os repositórios elegíveis em sua organização. Para saber mais, confira Configurações de segurança globais para sua organização.

Editando ou excluindo regras de triagem automática personalizadas para seu repositório

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em "Dependabot alerts", clique em perto de "Regras do Dependabot".

  5. Em "Regras do repositório", à direita da regra de alerta que você deseja editar ou excluir, clique em .

  6. Para editar a regra, faça as alterações nos campos aplicáveis e clique em Salvar regra.

  7. Para excluir a regra, em "Zona de perigo", clique em Excluir regra.

  8. Na caixa de diálogo "Tem certeza de que deseja excluir esta regra?" revise as informações e clique em Excluir regra.

Editando ou excluindo regras de triagem automática personalizadas para a sua organização

Você pode editar ou excluir regras de triagem automática personalizadas para todos os repositórios elegíveis em sua organização. Para saber mais, confira Configurações de segurança globais para sua organização.