Como Desativar os Alertas do Dependabot para um Repositório GitHub

Se você está gerenciando um projeto pessoal que está inativo há meses, ou mantendo repositórios de demonstração para fins educacionais, você conhece a frustração: o Dependabot continua inundando sua caixa de entrada com alertas de segurança e abrindo pull requests para dependências que você nunca vai atualizar. Vamos resolver isso.
Este guia mostra exatamente como desativar os alertas do Dependabot e pull requests automatizados para repositórios GitHub individuais—tanto através da interface do GitHub quanto usando arquivos de configuração. Vamos abordar as diferenças entre os três recursos do Dependabot e como desativar cada um.
Pontos Principais
- O Dependabot consiste em três recursos independentes: alertas, atualizações de segurança e atualizações de versão
- Você pode desativar o Dependabot através da interface do GitHub ou arquivos de configuração
- Repositórios públicos podem ter certos recursos do Dependabot permanentemente habilitados pelo GitHub
- Considere desativação seletiva para monorepos ou projetos parcialmente ativos
Entendendo os Três Recursos do Dependabot
Antes de mergulhar em como desativar o Dependabot, é crucial entender o que você está desligando. O Dependabot não é um recurso único—na verdade são três serviços distintos:
- Alertas do Dependabot: Notificações sobre vulnerabilidades de segurança em suas dependências
- Atualizações de segurança do Dependabot: Pull requests automatizados que corrigem vulnerabilidades conhecidas
- Atualizações de versão do Dependabot: Pull requests automatizados que mantêm todas as dependências atualizadas (não apenas as vulneráveis)
Cada um pode ser desativado independentemente, dando a você controle granular sobre quais notificações e PRs você recebe.
Método 1: Desativar o Dependabot Através das Configurações do GitHub
A maneira mais rápida de desligar o Dependabot é através da página de configurações do seu repositório. Este método é perfeito para mudanças pontuais e não requer código.
Desativando os Alertas do Dependabot
- Navegue até seu repositório GitHub
- Clique em Settings (se não conseguir vê-lo, clique primeiro no menu dropdown)
- Na barra lateral, encontre a seção “Security” e clique em Code security and analysis
- Localize “Dependabot alerts” e clique em Disable
Desativando as Atualizações de Segurança do Dependabot
Siga o mesmo caminho acima, mas procure por “Dependabot security updates”. Clique em Disable para parar os PRs automáticos de segurança.
Nota: Para repositórios públicos, alguns recursos do Dependabot podem estar permanentemente habilitados pela política do GitHub.
E as Atualizações de Versão?
As atualizações de versão são configuradas de forma diferente. Se você habilitou anteriormente através de um arquivo dependabot.yml
, precisará remover essa configuração ou usar o método baseado em arquivo abaixo para desativá-las.
Discover how at OpenReplay.com.
Método 2: Desativar o Dependabot Usando Arquivos de Configuração
Para mudanças mais permanentes ou controladas por versão, use um arquivo de configuração .github/dependabot.yml
. Esta abordagem é ideal quando você quer:
- Documentar por que o Dependabot está desativado
- Aplicar configurações consistentes entre membros da equipe
- Desativar seletivamente certos recursos mantendo outros
Desativar Completamente as Atualizações de Versão
Para desativar as atualizações de versão do Dependabot, defina o limite de pull requests como zero:
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
open-pull-requests-limit: 0
Esta configuração diz ao Dependabot para verificar atualizações mas nunca abrir pull requests. Aplique este padrão para cada ecossistema de pacotes em seu projeto (npm, pip, bundler, etc.).
Desativar Atualizações para Dependências Específicas
Às vezes você quer manter o Dependabot ativo mas ignorar certas dependências problemáticas:
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "weekly"
ignore:
- dependency-name: "lodash"
- dependency-name: "react"
versions: ["16.x", "17.x"]
Remover Toda a Configuração do Dependabot
Para desligar completamente as atualizações de versão do Dependabot, simplesmente delete o arquivo .github/dependabot.yml
do seu repositório. Sem este arquivo, o Dependabot não verificará atualizações de versão.
Cenários Comuns e Soluções
Projetos Arquivados ou Inativos
Para projetos verdadeiramente mortos, desative todos os três recursos do Dependabot através da interface do GitHub. Não há sentido em receber alertas de segurança para código que nunca será executado novamente.
Repositórios de Demonstração e Educacionais
Considere manter os alertas do Dependabot habilitados mas desativar PRs automáticos. Desta forma, você fica informado sobre vulnerabilidades sem o ruído dos PRs. Estudantes ou leitores podem ver avisos de segurança sem confusão causada por pull requests automatizados.
Monorepos com Atividade Mista
Use a abordagem de arquivo de configuração para desativar seletivamente o Dependabot para diretórios inativos mantendo-o ativo para código mantido:
version: 2
updates:
- package-ecosystem: "npm"
directory: "/active-app"
schedule:
interval: "weekly"
- package-ecosystem: "npm"
directory: "/archived-app"
schedule:
interval: "daily"
open-pull-requests-limit: 0
Considerações Importantes
Quando você desativa os recursos de segurança do Dependabot, está aceitando a responsabilidade de monitorar e atualizar manualmente dependências vulneráveis. Para projetos ativos, considere estas alternativas antes de desativar completamente:
- Reduza a frequência de atualizações em vez de desativar inteiramente
- Agrupe atualizações para receber PRs menores e maiores
- Use regras de ignore para dependências específicas em vez de desativação geral
Lembre-se de que desativar os alertas do Dependabot não faz as vulnerabilidades desaparecerem—apenas para as notificações.
Conclusão
Desativar o Dependabot é direto seja você preferindo clicar através da interface do GitHub ou gerenciar arquivos de configuração. A chave é entender qual dos três recursos do Dependabot você realmente quer desligar e escolher o método certo para seu fluxo de trabalho. Para projetos inativos, desativação agressiva faz sentido. Para qualquer outra coisa, considere configuração seletiva em vez de desativação completa.
Perguntas Frequentes
Sim, você pode desativar o Dependabot para qualquer repositório que você possui ou tem acesso de administrador. Navegue até Settings, depois Code security and analysis para ativar ou desativar recursos do Dependabot independentemente da visibilidade do repositório.
Desativar o Dependabot pode impactar os insights de segurança do seu repositório e classificações de scorecard. O GitHub rastreia a adoção de recursos de segurança, então desligar alertas e atualizações pode diminuir suas métricas de segurança, embora isso importe principalmente para repositórios públicos ou de organizações.
Absolutamente. Você pode reativar qualquer recurso do Dependabot a qualquer momento através do mesmo menu Settings ou adicionando de volta o arquivo de configuração dependabot.yml. Suas configurações anteriores não serão mantidas, então você precisará reconfigurar do zero.
Understand every bug
Uncover frustrations, understand bugs and fix slowdowns like never before with OpenReplay — the open-source session replay tool for developers. Self-host it in minutes, and have complete control over your customer data. Check our GitHub repo and join the thousands of developers in our community.