Implementar alertas e atualizações de segurança do GitHub Dependabot
Alertas
O GitHub Dependabot detecta dependências vulneráveis e envia alertas do Dependabot sobre elas em várias situações:
- Uma nova vulnerabilidade é adicionada ao banco de dados do GitHub Advisory.
- Novos dados de vulnerabilidade do Mend são processados.
- O grafo de dependência de um repositório muda.
Alertas são detectados em repositórios públicos por padrão, mas podem ser habilitados em outros repositórios.
Notificações podem ser enviadas por meio de mecanismos padrão de notificação do GitHub.
Para obter mais informações sobre alertas de Dependabot, confira Sobre alertas de dependências vulneráveis.
Confira Ecossistemas de pacotes com suporte para obter detalhes sobre os pacotes fornecidos que podem gerar alertas.
Para obter detalhes de notificação, confira: Configurando notificações.
Atualizações de segurança
Uma vantagem importante das atualizações de segurança do Dependabot é que elas podem criar solicitações de pull automaticamente.
Um desenvolvedor pode, então, examinar a atualização sugerida e determinar o que é necessário para incorporá-la.
Para obter mais informações sobre atualizações de segurança automáticas, confira Sobre atualizações de segurança do GitHub Dependabot.