{"meta":{"title":"Configuração de atualizações de segurança do Dependabot","intro":"Você pode usar Dependabot security updates ou solicitações de pull manuais para atualizar facilmente dependências vulneráveis.","product":"Qualidade de segurança e código","breadcrumbs":[{"href":"/pt/code-security","title":"Qualidade de segurança e código"},{"href":"/pt/code-security/how-tos","title":"How-tos"},{"href":"/pt/code-security/how-tos/secure-your-supply-chain","title":"Proteger sua cadeia de suprimentos"},{"href":"/pt/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies","title":"Proteger suas dependências"},{"href":"/pt/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates","title":"Configurar atualizações de segurança"}],"documentType":"article"},"body":"# Configuração de atualizações de segurança do Dependabot\n\nVocê pode usar Dependabot security updates ou solicitações de pull manuais para atualizar facilmente dependências vulneráveis.\n\n<!--Marketing-LINK: From home page \"Learn more about Dependabot\".-->\n\n## Gerenciamento Dependabot security updates para seus repositórios\n\nVocê pode habilitar ou desabilitar Dependabot security updates para todos os repositórios qualificados pertencentes à sua conta pessoal ou organização. Para saber mais, confira [Gerenciando recursos de segurança e análise](/pt/account-and-profile/setting-up-and-managing-your-personal-account-on-github/managing-personal-account-settings/managing-security-and-analysis-settings-for-your-personal-account) ou [Gerenciando as configurações de segurança e de análise da sua organização](/pt/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization).\n\nVocê também pode habilitar ou desabilitar Dependabot security updates para um repositório individual.\n\n### Habilitar ou desabilitar Dependabot security updates para um repositório individual\n\n1. Em GitHub, acesse a página principal do repositório.\n2. No nome do repositório, clique em **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-gear\" aria-label=\"gear\" role=\"img\"><path d=\"M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z\"></path></svg> Settings**. Caso não consiga ver a guia \"Configurações\", selecione o menu suspenso **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-kebab-horizontal\" aria-label=\"More\" role=\"img\"><path d=\"M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z\"></path></svg>** , clique em **Configurações**.\n\n   ![Captura de tela de um cabeçalho de repositório que mostra as guias. A guia \"Configurações\" é realçada por um contorno laranja-escuro.](/assets/images/help/repository/repo-actions-settings.png)\n3. Na seção \"Security\" da barra lateral, clique em **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-codescan\" aria-label=\"codescan\" role=\"img\"><path d=\"M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z\"></path><path d=\"M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z\"></path></svg> Advanced Security**.\n4. À direita de \"Dependabot atualizações de segurança\", clique em **Habilitar para habilitar** o recurso ou **Desabilitar** para desabilitá-lo.\n   Para repositórios públicos, o botão será desabilitado se o recurso estiver sempre habilitado.\n\n## Agrupamento Dependabot security updates em uma única solicitação de pull\n\nPara usar atualizações de segurança agrupadas, você deve primeiro habilitar os seguintes recursos:\n\n* **Gráfico de dependências**. Para saber mais, confira [Habilitar o grafo de dependência](/pt/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph).\n\n***\n\n```\n          Dependabot alerts\n          **. Para saber mais, confira [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts).\n```\n\n***\n\n```\n          Dependabot security updates\n          **. Para saber mais, confira [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).\n```\n\n> \\[!NOTE]\n> Quando as atualizações de segurança agrupadas estiverem habilitadas pela primeira vez, Dependabot tentará imediatamente criar solicitações de pull agrupadas. Você pode perceber Dependabot fechando pull requests antigos e abrindo novos.\n\nVocê pode habilitar pull requests para Dependabot security updates de uma ou ambas as seguintes maneiras.\n\n* Para agrupar o máximo possível de atualizações de segurança disponíveis, entre diretórios e por ecossistema, habilite o agrupamento nas configurações \"Advanced Security\" para seu repositório ou em \"Configurações globais\" em Advanced Security para sua organização.\n* Para obter um controle mais granular do agrupamento, como agrupamento por nome de pacote, dependências de desenvolvimento, nível do SemVer ou entre vários diretórios por ecossistema, adicione opções de configuração ao arquivo de configuração `dependabot.yml` em seu repositório.\n\n> \\[!NOTE]\n> Se você tiver configurado regras de grupo para Dependabot security updates em um arquivo `dependabot.yml`, todas as atualizações disponíveis serão agrupadas de acordo com as regras especificadas. Dependabot só serão agrupados nos diretórios não configurados em seu `dependabot.yml` se a configuração para atualizações de segurança agrupadas no nível da organização ou repositório também estiver habilitada.\n\n### Habilitar ou desabilitar o agrupamento Dependabot security updates para o repositório individual\n\n1. Em GitHub, acesse a página principal do repositório.\n2. No nome do repositório, clique em **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-gear\" aria-label=\"gear\" role=\"img\"><path d=\"M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z\"></path></svg> Settings**. Caso não consiga ver a guia \"Configurações\", selecione o menu suspenso **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-kebab-horizontal\" aria-label=\"More\" role=\"img\"><path d=\"M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z\"></path></svg>** , clique em **Configurações**.\n\n   ![Captura de tela de um cabeçalho de repositório que mostra as guias. A guia \"Configurações\" é realçada por um contorno laranja-escuro.](/assets/images/help/repository/repo-actions-settings.png)\n3. Na seção \"Security\" da barra lateral, clique em **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-codescan\" aria-label=\"codescan\" role=\"img\"><path d=\"M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z\"></path><path d=\"M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z\"></path></svg> Advanced Security**.\n4. Em \"Dependabot\", à direita de \"Atualizações de segurança agrupadas\", clique em **Habilitar para habilitar** o recurso ou **Desabilitar** desabilitá-lo.\n\n### Habilitando ou desabilitando o recurso de agrupamento Dependabot security updates para uma organização\n\n```\n           Você pode habilitar o agrupamento Dependabot security updates em uma única pull request. Para saber mais, confira [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#grouping-dependabot-security-updates).\n```\n\n## Como substituir o comportamento padrão com um arquivo de configuração\n\nVocê pode substituir o comportamento padrão de Dependabot security updates adicionando um arquivo `dependabot.yml` ao seu repositório. Com um `dependabot.yml` arquivo, você pode ter um controle mais granular do agrupamento e substituir o comportamento padrão das Dependabot security updates configurações.\n\nUse a opção `groups` com a `applies-to: security-updates` chave para criar conjuntos de dependências (por gerenciador de pacotes), de modo que Dependabot abra uma única solicitação de pull para atualizar várias dependências ao mesmo tempo. Você pode definir grupos por nome de pacote (as chaves `patterns` e `exclude-patterns` ), tipo de dependência (chave`dependency-type` ) e SemVer (chave `update-types` ).\n\nDependabot cria grupos na ordem em que aparecem no arquivo `dependabot.yml`. Se uma atualização de dependência puder pertencer a mais de um grupo, ela será atribuída apenas ao primeiro grupo com o qual corresponder.\n\nSe você precisar apenas das atualizações de *segurança* e quiser excluir as atualizações de *versão*, você pode definir `open-pull-requests-limit` como `0` para evitar atualizações de versão de um determinado `package-ecosystem`.\n\nPara obter mais informações sobre as opções de configuração disponíveis para atualizações de segurança, consulte [Personalizar pull requests para atualizações de segurança do Dependabot](/pt/code-security/dependabot/dependabot-security-updates/customizing-dependabot-security-prs).\n\n```yaml copy\n# Example configuration file that:\n#  - Has a private registry\n#  - Ignores lodash dependency\n#  - Disables version-updates\n#  - Defines a group by package name, for security updates for golang dependencies\n\nversion: 2\nregistries:\n  example:\n    type: npm-registry\n    url: https://example.com\n    token: ${{secrets.NPM_TOKEN}}\nupdates:\n  - package-ecosystem: \"npm\"\n    directory: \"/src/npm-project\"\n    schedule:\n      interval: \"daily\"\n    # For Lodash, ignore all updates\n    ignore:\n      - dependency-name: \"lodash\"\n    # Disable version updates for npm dependencies\n    open-pull-requests-limit: 0\n    registries:\n      - example\n  - package-ecosystem: \"gomod\"\n    directories:\n      - \"**/*\"\n    schedule:\n      interval: \"weekly\"\n    open-pull-requests-limit: 0\n    groups:\n      golang:\n        applies-to: security-updates\n        patterns:\n          - \"golang.org*\"\n```\n\n> \\[!NOTE]\n> Para que Dependabot use esta configuração para atualizações de segurança, o `directory` deve ser o caminho para os arquivos de manifesto (ou `directories` deve conter caminhos ou padrões glob que correspondam aos locais dos arquivos de manifesto), e você não deve especificar um `target-branch`.\n\n## Leitura adicional\n\n* [Sobre alertas do Dependabot](/pt/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)\n* [Configurando alertas do Dependabot](/pt/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)\n* [Ecossistemas de pacotes com suporte a gráficos de dependência](/pt/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)"}