Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre alertas de segurança para dependências vulneráveis

GitHub sends security alerts when we detect vulnerabilities affecting your repository.

Neste guia

Sobre vulnerabilidades de segurança

A vulnerability is a problem in a project's code that could be exploited to damage the confidentiality, integrity, or availability of the project or other projects that use its code. Depending on the severity level and the way your project uses the dependency, vulnerabilities can cause a range of problems for your project or the people who use it. Você pode rastrear e resolver vulnerabilidades para determinados tipos de dependência no seu repositório do GitHub.

If GitHub detects a vulnerability from the GitHub Advisory Database or WhiteSource in one of the dependencies in your repository's dependency graph, we'll send you a security alert. For more information about the GitHub Advisory Database, see "Browsing security vulnerabilities in the GitHub Advisory Database."

Alerts and automated security updates for vulnerable dependencies

When a new vulnerability is added to the GitHub Advisory Database, we identify public repositories (and private repositories that have opted in to vulnerability detection) that use the affected version of the dependency, send a security alert to repository maintainers, and generate an automated security update.

Each security alert includes a severity level, a link to the affected file in your project, and a link to a pull request containing an automated security update that resolves the vulnerability. Quando disponível, o alerta incluirá mais detalhes sobre a vulnerabilidade.

Você pode ver todos os alertas que afetam um projeto específico na guia Alerts (Alertas) do repositório ou no gráfico de dependência do repositório. Para obter mais informações, consulte "Exibir e atualizar dependências vulneráveis no repositório".

Enviamos alertas de segurança para as pessoas com permissões de administrador nos repositórios afetados por padrão. O GitHub nunca divulga publicamente vulnerabilidades identificadas em algum repositório. Você também pode habilitar alertas de segurança para mais pessoas ou equipes que trabalham nos repositórios que pertencem à organização. Para obter mais informações, consulte "Gerenciar alertas para dependências vulneráveis nos repositórios da sua organização".

Automated security updates update vulnerable dependencies to the minimum version that resolves the vulnerability. Automated security updates are automatically enabled in repositories that use the dependency graph and security alerts, but you can choose to disable automatic pull requests and generate security updates manually instead. For more information, see "Configuring automated security updates."

O GitHub detecta e alerta sobre dependências vulneráveis em repositórios públicos por padrão. Para receber alertas de segurança para dependências vulneráveis em um repositório privado, um proprietário ou uma pessoa com acesso de administrador ao repositório deve habilitar o gráfico de dependência e os alertas de segurança no repositório. Para obter mais informações, consulte "Aceitar ou recusar o uso de dados de seu repositório privado".

Para obter uma lista de linguagens aceitas em que o GitHub pode detectar vulnerabilidades e dependências, consulte "Listar os pacotes dos quais um repositório depende".

Observação: os recursos de segurança do GitHub, como os alertas de segurança, não têm a pretensão de capturar todas as vulnerabilidades. Embora estejamos sempre tentando atualizar nosso banco de dados de vulnerabilidades e alertar você com nossas informações mais atualizadas, não podemos capturar tudo nem alertar sobre vulnerabilidades conhecidas dentro de um prazo garantido. Esses recursos não substituem a revisão humana de cada dependência em busca de possíveis vulnerabilidades ou algum outro problema, e nossa sugestão é consultar um serviço de segurança ou realizar uma revisão completa de vulnerabilidade quando necessário.

Configurar notificações para alertas de segurança

Por padrão, você receberá um e-mail semanal resumindo os alertas de segurança para até 10 dos seus repositórios. Também é possível optar por receber alertas de segurança individualmente por e-mail, em um e-mail de resumo semanal, nas notificações da web ou na interface de usuário do GitHub. Para obter mais informações, consulte "Escolher o método de entrega das notificações".

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato