Sobre as notificações de Dependabot alerts.
Quando o Dependabot detecta dependências vulneráveis nos repositórios, geramos um alerta do Dependabot e o exibimos na guia Segurança do repositório. O GitHub notifica os mantenedores dos repositórios afetados sobre o novo alerta de acordo com as preferências de notificação. Por padrão, o Dependabot está habilitado em todos os repositórios público e precisa ser habilitado em repositórios privados. Por padrão, você receberá Dependabot alerts por email. Você pode substituir o comportamento geral padrão escolhendo o tipo de notificações que deseja receber ou desativando totalmente as notificações na página de configurações das notificações do usuário em https://github.com/settings/notifications.
O Dependabot não gera Dependabot alerts para malwares. Para obter mais informações, confira "Sobre o banco de dados de avisos do GitHub".
Independentemente das preferências de notificação, quando o Dependabot é habilitado pela primeira vez, o GitHub não envia notificações para todas as dependências vulneráveis encontradas no repositório. Em vez disso, você recebe notificações para novas dependências vulneráveis identificadas após a habilitação do Dependabot, de acordo com as preferências de notificação.
Se você é proprietário de uma organização, habilite ou desabilite os Dependabot alerts em todos os repositórios da organização com um clique. Você também pode definir se os Dependabot alerts serão habilitados ou desabilitados para repositórios recém-criados. Para saber mais, confira Gerenciando as configurações de segurança e de análise da sua organização.
Configurar notificações para Dependabot alerts
Quando um novo alerta do Dependabot é detectado, o GitHub notifica todos os usuários com acesso aos Dependabot alerts no repositório de acordo com as respectivas preferências de notificação. Você receberá alertas se estiver acompanhando o repositório, caso tenha habilitado notificações para alertas de segurança ou para toda a atividade no repositório e não estiver ignorando o repositório. Para saber mais, confira Configurar notificações.
Você pode definir as configurações de notificação para si mesmo ou para sua organização no menu suspenso Gerenciar notificações exibido na parte superior de cada página. Para saber mais, confira Configurar notificações.
Você pode escolher o método de entrega para as notificações, bem como a frequência com que elas são enviadas a você. Por padrão, você receberá notificações:
- Na caixa de entrada, como notificações da Web. Uma notificação da Web é enviada quando Dependabot é habilitado para um repositório, quando um novo arquivo de manifesto é confirmado no repositório e quando uma nova vulnerabilidade com gravidade crítica ou alta é encontrada (na opção GitHub ).
- Por email. Um email é enviado quando Dependabot é habilitado para um repositório, quando um novo arquivo de manifesto é confirmado no repositório e quando uma nova vulnerabilidade com gravidade crítica ou alta é encontrada (na opção Email).
- Na linha de comando. Os avisos são exibidos como retornos de chamada quando você efetua push para repositórios com dependências inseguras (opção CLI).
- Em GitHub Mobile, como notificações da Web. Para obter mais informações, confira "Configurar notificações".
Note
As notificações por email e da Web do/GitHub Mobile são:
- por repositório, quando o Dependabot está habilitado no repositório ou quando é feito commit de um novo arquivo de manifesto no repositório.
- por organização, quando uma nova vulnerabilidade é descoberta.
- Envie quando uma nova vulnerabilidade é descoberta. GitHub não envia notificações quando as vulnerabilidades são atualizadas.
É possível personalizar a maneira que a notificação sobre Dependabot alerts é feita. Por exemplo, é possível receber um email de resumo diário ou semanal sobre alertas de até 10 repositórios com a opção Enviar resumo semanal por email.
Note
Você pode filtrar as notificações no GitHub para mostrar Dependabot alerts. Para saber mais, confira Gerenciamento de notificações da sua caixa de entrada.
As notificações por email para os Dependabot alerts que afetam um ou mais repositórios incluem o campo de cabeçalho X-GitHub-Severity
. Use o valor do campo de cabeçalho X-GitHub-Severity
para filtrar as notificações por email para os Dependabot alerts. Para saber mais, confira Configurar notificações.
Como reduzir as notificações desnecessárias de Dependabot alerts.
Se você estiver preocupado em receber muitas notificações para Dependabot alerts, recomendamos que você opte pelo resumo semanal de e-mail ou desabilite as notificações enquanto mantém Dependabot alerts habilitado. Você ainda pode navegar para ver seus Dependabot alerts na guia Security de seu repositório. Para saber mais, confira Visualizando e atualizando alertas do Dependabot.