Skip to main content

Esta versão do GitHub Enterprise Server foi descontinuada em 2024-03-26. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Configurando as atualizações de segurança do Dependabot

Você pode usar Dependabot security updates ou pull requests manuais para atualizar facilmente dependências vulneráveis.

Observação: o administrador do site precisa configurar as Dependabot updates do sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa".

Sobre a configuração de Dependabot security updates

É possível habilitar o Dependabot security updates para qualquer repositório que use Dependabot alerts e o gráfico de dependências. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot".

Você pode habilitar ou desabilitar Dependabot security updates para um repositório individual ou para todos os repositórios pertencentes à sua conta pessoal ou organização. Para obter mais informações sobre como habilitar recursos de segurança em uma organização, confira "Como proteger sua organização".

Repositórios com suporte

O GitHub habilita automaticamente as Dependabot security updates para repositórios recém-criados quando na conta pessoal na ou organização estiver habilitada a opção Habilitar automaticamente para novos repositórios de Dependabot security updates. Para obter mais informações, confira "Como gerenciar as Dependabot security updates dos repositórios" abaixo.

Se você criar um fork de um repositório com atualizações de segurança habilitadas, o GitHub desabilitará automaticamente as Dependabot security updates do fork. Depois, você poderá decidir se deseja habilitar as Dependabot security updates no fork específico.

Se as atualizações de segurança não estiverem habilitadas para o seu repositório e você não souber o motivo, primeiro tente habilitá-las utilizando as instruções fornecidas nas seções de procedimento abaixo. Se atualizações de segurança ainda não funcionarem, você pode entrar em contato com seu administrador do site.

Gerenciar Dependabot security updates para seus repositórios

Você pode habilitar ou desabilitar as Dependabot security updates para todos os repositórios qualificados pertencentes à sua conta pessoal ou à organização. Para obter mais informações, confira "Gerenciar as configurações de segurança e análise para a sua conta pessoal" ou "Gerenciando as configurações de segurança e de análise da sua organização".

Você pode habilitar ou desabilitar as Dependabot security updates em um repositório individual.

Habilitar ou desabilitar Dependabot security updates para um repositório individual

  1. No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Em "Segurança e análise de código", à direita de "Atualizações de segurança do Dependabot", clique em Habilitar para habilitar o recurso ou Desabilitar para desabilitá-lo.

Como substituir o comportamento padrão com um arquivo de configuração

Você pode substituir o comportamento padrão de Dependabot security updates adicionando um arquivo dependabot.yml ao repositório.

Se você precisar apenas das atualizações de segurança e quiser excluir as atualizações de versão, você pode definir open-pull-requests-limit como 0 para evitar atualizações de versão de um determinado package-ecosystem.

Para obter mais informações sobre as opções de configuração disponíveis para atualizações de segurança, confira "Opções de configuração para o arquivo dependabot.yml".

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example

Observação: para que Dependabot use essa configuração para atualizações de segurança, directory deve ser o caminho para os arquivos de manifesto, e você não deve especificar um target-branch.

Leitura adicional