Implementar alertas e atualizações de segurança do GitHub Dependabot
Alertas
O GitHub Dependabot detecta dependências vulneráveis e envia alertas do Dependabot sobre elas em várias situações:
- Uma nova vulnerabilidade é adicionada ao banco de dados do GitHub Advisory.
- Novos dados de vulnerabilidade do Mend são processados.
- Grafo de dependência para alterações de repositório.
Os alertas são detectados em repositórios públicos por padrão, mas podem ser habilitados para outros repositórios.
As notificações podem ser enviadas por meio de mecanismos de notificação padrão do GitHub.
Para obter mais informações sobre alertas do Dependabot, consulte Sobre alertas para dependências vulneráveis.
Consulte os ecossistemas de pacotes suportados para obter detalhes sobre os pacotes fornecidos para os quais alertas podem ser gerados.
Para obter detalhes de notificação, consulte: Configurar notificações.
Atualizações de segurança
Uma das principais vantagens das atualizações de segurança do Dependabot é que elas podem criar solicitações de pull automaticamente.
Em seguida, um desenvolvedor pode examinar a atualização sugerida e fazer a triagem do que é necessário para incorporá-la.
Para obter mais informações sobre atualizações de segurança automáticas, consulte Sobre as atualizações de segurança do GitHub Dependabot.