Implementar alertas e atualizações de segurança do GitHub Dependabot

Alertas

O GitHub Dependabot deteta dependências vulneráveis e envia alertas sobre elas em várias situações:

Uma nova vulnerabilidade é adicionada ao banco de dados de Consultoria do GitHub.
Novos dados de vulnerabilidade do Mend são processados.
Alterações no gráfico de dependência de um repositório.

Os alertas são detetados em repositórios públicos por padrão, mas podem ser habilitados para outros repositórios.

As notificações podem ser enviadas por meio de mecanismos de notificação padrão do GitHub.

Para obter mais informações sobre alertas Dependabot, consulte Sobre alertas para dependências vulneráveis.

Consulte Ecossistemas de pacotes suportados para obter detalhes sobre os pacotes fornecidos que os alertas podem ser gerados.

Para obter detalhes da notificação, consulte: Configurando notificações.

Uma das principais vantagens das atualizações de segurança do Dependabot é que elas podem criar automaticamente solicitações pull.

Um desenvolvedor pode então revisar a atualização sugerida e fazer a triagem do que é necessário para incorporá-la.

Para obter mais informações sobre atualizações automáticas de segurança, consulte Sobre as atualizações de segurança do GitHub Dependabot.