[go: up one dir, main page]

Gerenciar notificações de segurança

Saiba como controlar notificações de Dependabot alerts e Secret scanning.

Neste artigo

Opções de notificação de Dependabot alerts

As opções de notificação para sua conta de usuário estão disponíveis em https://github.com/settings/notifications. Você pode definir as configurações de notificação para cada repositório, nas configurações de inspeção do repositório.

Para receber notificações sobre os Dependabot alerts nos repositórios, inspecione esses repositórios e inscreva-se para receber notificações de "Todas as Atividades" ou defina configurações personalizadas para incluir "Alertas de segurança". Para saber mais, confira Configurar notificações. Você pode escolher o método de entrega para as notificações, bem como a frequência com que elas são enviadas a você. Por padrão, você receberá notificações:

  • Na caixa de entrada, como notificações da Web. Uma notificação da Web é enviada quando Dependabot é habilitado para um repositório, quando um novo arquivo de manifesto é confirmado no repositório e quando uma nova vulnerabilidade com gravidade crítica ou alta é encontrada (na opção GitHub ).
  • Por email. Um email é enviado quando Dependabot é habilitado para um repositório, quando um novo arquivo de manifesto é confirmado no repositório e quando uma nova vulnerabilidade com gravidade crítica ou alta é encontrada (na opção Email).
  • Na linha de comando. Os avisos são exibidos como retornos de chamada quando você efetua push para repositórios com dependências inseguras (opção CLI).
  • Em GitHub Mobile, como notificações da Web. Para saber mais, confira Configurar notificações.

Observação

As notificações por email e da Web do/GitHub Mobile são:

  • por repositório, quando o Dependabot está habilitado no repositório ou quando é feito commit de um novo arquivo de manifesto no repositório.
  • por organização, quando uma nova vulnerabilidade é descoberta.
  • Envie quando uma nova vulnerabilidade é descoberta. GitHub não envia notificações quando as vulnerabilidades são atualizadas.

É possível personalizar a maneira que a notificação sobre Dependabot alerts é feita. Por exemplo, é possível receber um email de resumo diário ou semanal sobre alertas de até 10 repositórios com a opção Enviar resumo semanal por email.

Para obter mais informações sobre os métodos de entrega de notificação disponíveis para você e recomendações sobre como otimizar as notificações de Dependabot alerts, confira Configurando notificações para alertas do Dependabot.

Opções de notificação do Secret scanning

Quando um novo segredo é detectado, o GitHub notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:

  • Administradores do repositório
  • Gerentes de segurança
  • Usuários com funções personalizadas com acesso de leitura/gravação
  • Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados

Observação

Os autores de confirmação que acidentalmente fizeram commit de segredos serão notificados, independentemente das preferências de notificação deles.

Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Você habilitou notificações para "Todas as Atividades" ou para "Alertas de segurança" personalizados no repositório.
  • Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e em "Inspeção", a opção para receber notificações por email.

Além disso, você receberá uma notificação se alguém lhe atribuir um alerta do secret scanning; consulte Atribuindo alertas.

Para obter informações sobre como configurar notificações para alertas de verificação de segredo, confira Monitorando alertas da verificação de segredos.