Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Configurar correções de segurança automatizadas

Você pode usar pull request automatizadas ou manuais para atualizar facilmente dependências vulneráveis.

Neste artigo

Sobre correções de segurança automatizadas

Observação: as correções de segurança automáticas estão disponíveis na versão beta e estão sujeitas à alteração.

É possível habilitar correções de segurança automatizadas para qualquer repositório que use alertas de segurança e o gráfico de dependências. Nos próximos meses, habilitaremos automaticamente correções de segurança automatizadas em cada repositório que usa alertas de segurança e o gráfico de dependência, começando em maio de 2019. É possível desabilitar as correções de segurança automatizadas para um ou para todos os repositórios pertencentes à sua conta de usuário ou organização.

Quando você receber um alerta de segurança sobre uma dependência vulnerável no repositório, será possível resolver a vulnerabilidade usando uma correção de segurança automatizada em uma pull request que corresponda ao alerta de segurança. As correções de segurança automatizadas estão disponíveis em repositórios que usam o gráfico de dependência. Por padrão, o GitHub cria automaticamente uma pull request no repositório de modo a atualizar a dependência vulnerável para a menor versão segura necessária para evitar a vulnerabilidade. Se preferir, você pode desabilitar as pull requests automáticas e criá-las manualmente para atualizar dependências somente quando for conveniente.

As solicitações de segurança automatizadas contêm tudo o que você precisa para fazer a revisão e o merge de modo rápido e seguro de uma correção proposta no seu projeto, incluindo informações sobre a vulnerabilidade, como notas de versão, entradas no log de mudanças e detalhes do commit.

As correções de segurança automatizadas são abertas pelo Dependabot em nome do GitHub. O Dependabot aplicativo GitHub é instalado automaticamente em cada repositório onde as correções de segurança automatizadas são habilitadas.

As pessoas com acesso aos alertas de segurança do seu repositório verão um link para o alerta de segurança relevante, embora outras pessoas com acesso à pull request não possam ver qual vulnerabilidade a pull request resolve.

Quando você faz merge de uma pull request que contém uma correção de segurança automatizada, o alerta de segurança correspondente é marcado como resolvido para o repositório.

Observação: as correções de segurança automatizadas resolvem apenas vulnerabilidades de segurança. As correções de segurança automatizadas não são criadas para resolver vulnerabilidades em registros privados nem em pacotes hospedados em repositórios privados.

Sobre pontuações de compatibilidade

As correções de segurança automatizadas também incluem pontuações de compatibilidade para permitir que você saiba se atualizar uma vulnerabilidade pode gerar alterações repentinas no seu projeto. Observamos os testes de CI anteriormente aprovados de repositórios públicos nos quais geramos uma determinada correção de segurança automatizada para saber se a atualização faz com que os testes falhem. Uma pontuação de compatibilidade da atualização é a porcentagem de execuções de CI que foram aprovadas durante a atualização entre versões relevantes da dependência.

Gerenciar correções de segurança automatizadas para seu repositório

Você pode habilitar ou desabilitar correções de segurança automatizadas para um repositório individual.

Para que seja possível habilitar correções de segurança automatizadas, é preciso habilitar o gráfico de dependência e os alertas de segurança para o repositório. Para obter mais informações, consulte "Aceitar ou recusar o uso de dados de seu repositório".

  1. On GitHub, navigate to the main page of the repository.

  2. Under your repository name, click Security.

    Security tab

  3. Acima da lista de alertas, use o menu suspenso e marque ou desmarque Automated security fixes (Correções de segurança automatizadas).

    Menu suspenso com a opção para habilitar correções de segurança automatizadas

Gerenciar correções de segurança automatizadas para sua conta de usuário

Você pode desabilitar correções de segurança automatizadas para todos os repositórios pertencentes à sua conta de usuário. Se assim o fizer, você ainda pode habilitar correções de segurança automatizadas para repositórios individuais pertencentes à sua conta de usuário.

  1. In the upper-right corner of any page, click your profile photo, then click Settings.

    Settings icon in the user bar

  2. In the user settings sidebar, click Security.

    Security settings sidebar

  3. Under "Automated security fixes", select or deselect Opt out of automated security fixes.

    Checkbox to opt out of automated security fixes

  4. Clique em Save (Salvar).

Gerenciar correções de segurança automatizadas para sua organização

Os proprietários da organização podem desabilitar correções de segurança automatizadas para todos os repositórios pertencentes à organização. Se isso for feito, qualquer pessoa com permissões de administrador em um repositório individual pertencente à organização ainda pode habilitar correções de segurança automatizadas naquele repositório.

  1. In the top right corner of GitHub, click your profile photo, then click Your profile.

    Profile photo

  2. On the left side of your profile page, under "Organizations", click the icon for your organization.

    organization icons

  3. Under your organization name, click Settings.

    Organization settings button

  4. In the organization settings sidebar, click Security.

    Security settings

  5. Under "Automated security fixes", select or deselect Opt out of automated security fixes.

    Checkbox to opt out of automated security fixes

  6. Clique em Save (Salvar).

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato