Sobre o Atualizações de segurança do GitHub Dependabot
You can enable Atualizações de segurança do GitHub Dependabot for any repository that uses security alerts and the dependency graph. You can disable Atualizações de segurança do GitHub Dependabot for an individual repository or for all repositories owned by your user account or organization.
When you receive a security alert about a vulnerable dependency in your repository, you can resolve the vulnerability using a security update in a pull request generated by GitHub Dependabot. Security updates are available in repositories that use the dependency graph. Por padrão, o GitHub Dependabot cria automaticamente uma pull request no repositório de modo a atualizar a dependência vulnerável para a menor versão segura necessária para evitar a vulnerabilidade. Se preferir, você pode desabilitar as pull requests automáticas e criá-las manualmente para atualizar dependências somente quando for conveniente.
Security updates contain everything you need to quickly and safely review and merge a proposed fix into your project, including information about the vulnerability like release notes, changelog entries, and commit details.
Security updates are opened by GitHub Dependabot. GitHub Dependabot aplicativo GitHub is automatically installed on every repository where security updates are enabled.
As pessoas com acesso aos alertas de segurança do seu repositório verão um link para o alerta de segurança relevante, embora outras pessoas com acesso à pull request não possam ver qual vulnerabilidade a pull request resolve.
When you merge a pull request that contains a security update, the corresponding security alert is marked as resolved for your repository.
Note: Atualizações de segurança do GitHub Dependabot only resolve security vulnerabilities in your dependencies. Security updates are not created to resolve vulnerabilities in private registries or packages hosted in private repositories.
Supported repositories
GitHub automatically enables Atualizações de segurança do GitHub Dependabot for every repository that meets these requirements.
Note: For repositories created before November 2019, GitHub has automatically enabled Atualizações de segurança do GitHub Dependabot if the repository meets the following criteria and has received at least one push since May 23, 2019.
| Requirement | Mais informações |
|---|---|
| Repository is not a fork | "Sobre bifurcações" |
| Repository is not archived | "Arquivar repositórios" |
| Repository is public, or repository is private and you have enabled read-only analysis by GitHub, dependency graph, and vulnerability alerts in the repository's settings | "Opting into data use for your private repository" |
| Repository contains dependency manifest file from a package ecosystem that GitHub supports | "Supported package ecosystems" |
| Atualizações de segurança do GitHub Dependabot are not disabled for the repository | "Managing Atualizações de segurança do GitHub Dependabot for your repository" |
| Repository is not already using an integration for dependency management | "Sobre integrações" |
If security updates are not enabled for your repository and you don't know why, you can contact support.
Sobre pontuações de compatibilidade
Atualizações de segurança do GitHub Dependabot also include compatibility scores to let you know whether updating a vulnerability could cause breaking changes to your project. We look at previously-passing CI tests from public repositories where we've generated a given security update to learn whether the update causes tests to fail. Uma pontuação de compatibilidade da atualização é a porcentagem de execuções de CI que foram aprovadas durante a atualização entre versões relevantes da dependência.
Managing Atualizações de segurança do GitHub Dependabot for your repository
You can enable or disable Atualizações de segurança do GitHub Dependabot for an individual repository.
Atualizações de segurança do GitHub Dependabot require specific repository settings. For more information, see "Supported repositories."
- No GitHub, navegue até a página principal do repositório.
- Under your repository name, click Security.
- In the security sidebar, click Dependabot alerts.
- Above the list of alerts, use the drop-down menu and select or unselect Dependabot security updates.
Managing Atualizações de segurança do GitHub Dependabot for your user account
You can disable Atualizações de segurança do GitHub Dependabot for all repositories owned by your user account. If you do, you can still enable Atualizações de segurança do GitHub Dependabot for individual repositories owned by your user account.
- In the upper-right corner of any page, click your profile photo, then click Settings.
- In the user settings sidebar, click Security.
Managing Atualizações de segurança do GitHub Dependabot for your organization
Organization owners can disable Atualizações de segurança do GitHub Dependabot for all repositories owned by the organization. If you do, anyone with admin permissions to an individual repository owned by the organization can still enable Atualizações de segurança do GitHub Dependabot on that repository.
- In the top right corner of GitHub, click your profile photo, then click Your profile.
- On the left side of your profile page, under "Organizations", click the icon for your organization.
- Under your organization name, click Settings.
- In the organization settings sidebar, click Security.
