Alertas de malware do Dependabot

          Dependabot malware alerts ajude você a identificar malware em suas dependências para proteger seu projeto e seus usuários.

Quem pode usar esse recurso?

Repositórios com Dependabot alerts habilitados

Neste artigo

O software geralmente depende de pacotes de várias fontes, criando relações de dependência que podem ameaçar a segurança do projeto. Por exemplo, os maus atores podem usar pacotes mal-intencionados para executar ataques de malware, obtendo acesso ao seu código, dados, usuários e colaboradores.

Para ajudar a manter seu projeto seguro, Dependabot verifique suas dependências em busca de pacotes mal-intencionados conhecidos e crie alertas com as etapas de correção sugeridas.

Quando Dependabot envia malware alerts

          Dependabot envia malware alerts quando um pacote no branch padrão do repositório é sinalizado como mal-intencionado. Alertas para dependências existentes são gerados assim que o pacote é sinalizadoGitHub Advisory Database.

Os alertas também são gerados quando você envia confirmações por push que adicionam um pacote mal-intencionado conhecido ou atualizam um pacote a uma versão mal-intencionada conhecida.

Observação

Se o ecossistema, o nome e a versão de um pacote interno corresponderem aos de um pacote público mal-intencionado, Dependabot poderá gerar um alerta falso positivo.

Conteúdo do alerta

Quando Dependabot detecta uma dependência maliciosa, um malware alert aparece na guia de Security and quality do repositório. Cada alerta inclui:

  • Um link para o arquivo afetado
  • Detalhes sobre o pacote mal-intencionado, incluindo o nome do pacote, as versões afetadas e a versão corrigida (quando disponível)
  • Etapas de correção

Disponibilidade

Atualmente, Dependabot malware alerts estão disponíveis para pacotes no npm ecossistema.

Notificações de alerta

Por padrão, GitHub envia notificações por email sobre novos alertas para pessoas que:

  • Ter permissões de escrita, manutenção ou administração em um repositório
  • Estão assistindo ao repositório e habilitaram notificações para alertas de segurança ou para todas as atividades no repositório

No GitHub.com, você pode substituir o comportamento padrão escolhendo o tipo de notificações que deseja receber, ou desligar completamente as notificações na página de configurações para suas notificações de usuário em https://github.com/settings/notifications.

Se você estiver preocupado em receber muitas notificações, recomendamos aproveitar Regras de triagem automática do Dependabot para descartar automaticamente alertas de baixo risco. Consulte Sobre as regras de triagem automática do Dependabot.

Limitações

          Dependabot malware alerts têm algumas limitações:

  • Os alertas não podem detectar todos os problemas de segurança. Sempre examine suas dependências e mantenha arquivos de manifesto e de bloqueio atualizados para detecção precisa.

  • O novo malware pode levar tempo para aparecer no GitHub Advisory Database e disparar alertas.

  • Somente avisos revisados por GitHub disparam alertas.

  •         Dependabot não verifica repositórios arquivados.

  • Para GitHub Actions, os alertas são gerados apenas para ações que usam versionamento semântico, não versionamento SHA.

            GitHub nunca divulga publicamente dependências mal-intencionadas de qualquer repositório.

Próximas Etapas 

Para começar a proteger seu projeto contra dependências mal-intencionadas, consulte Configurando alertas de malware Dependabot.