了解 Dependabot 自动分流规则

关于 Dependabot 自动分流规则

Dependabot 自动分流规则让您可以指示 Dependabot 自动对 Dependabot 警报和 Dependabot 恶意软件警报进行分流。您可以使用自动分流规则来

• 自动忽略或延迟某些警报
• 指定您希望 Dependabot 为其打开拉取请求的警报

规则在发送警报通知之前就已应用，因此启用自动忽略低风险警报的规则有助于减少通知噪音。

Dependabot 自动分流规则有两种类型

• GitHub 预设
• 自定义自动分流规则

关于 GitHub 预设

GitHub 预设是由 GitHub 精选的规则，可用于所有仓库。

忽略针对开发范围依赖的低影响问题

Dismiss low impact issues for development-scoped dependencies 规则是 GitHub 预设，会自动忽略在开发环境中使用的 npm 依赖中发现的某些类型的漏洞。这些警报覆盖的情况对大多数开发者来说像是误报，因为相关漏洞

• 在开发者（非生产或运行时）环境中不太可能被利用。
• 可能涉及资源管理、编程与逻辑以及信息泄露问题。
• 最糟糕的情况下，仅会产生诸如构建变慢或测试运行时间过长等有限影响。
• 并不表明生产环境存在问题。

该规则在公共仓库中默认启用，私有仓库可以选择开启。有关操作说明，请参阅 为您的私有仓库启用 Dismiss low impact issues for development-scoped dependencies 规则。

有关规则使用的标准的更多信息，请参阅 GitHub 预设 Dependabot 规则使用的 CWE 列表。

忽略软件包恶意软件警报

Dismiss package malware alerts 规则是 GitHub 预设，会自动忽略将所有版本的软件包标记为恶意的警报。如果您的项目依赖于一个与恶意 公共 软件包同一生态系统和名称的 内部 软件包，Dependabot 可能会生成误报，该规则随后会自动忽略该警报。

Dismiss package malware alerts 规则默认已禁用，但可在任何使用 Dependabot 恶意软件警报的仓库中启用。

关于自定义自动分流规则

使用自定义自动分流规则，您可以创建自己的规则，根据严重性、软件包名称、CWE 等目标元数据自动忽略或重新打开警报。您还可以指定哪些 Dependabot 警报希望 Dependabot 为其打开拉取请求。更多信息请参阅 自定义自动分流规则以优先处理 Dependabot 警报。

只要仓库所属的组织拥有 GitHub 代码安全或 GitHub 高级安全的许可证，您即可在仓库的 Settings 选项卡中创建自定义规则。更多信息请参阅 向您的仓库添加自定义自动分流规则。

关于自动忽略警报

虽然使用自动分流规则自动忽略警报可能很有用，但您仍然可以重新打开被自动忽略的警报，并可通过过滤查看哪些警报已被自动忽略。更多信息请参阅 管理由 Dependabot 自动分流规则自动忽略的警报。

此外，自动忽略的警报仍可用于报告和审查，并且在警报元数据发生变化时可以自动重新打开，例如

• 如果您将依赖的范围从开发改为生产。
• 如果 GitHub 修改了相关 advisory 的某些元数据。

自动忽略的警报使用 resolution:auto-dismiss 关闭原因进行标记。自动忽略活动会出现在警报 Webhook、REST 与 GraphQL API 以及审计日志中。更多信息请参阅 Dependabot 警报的 REST API 端点，以及审计日志中 “repository_vulnerability_alert” 部分 查看组织的审计日志。

后续步骤

要开始使用 Dependabot 自动分流规则，请参阅 使用 GitHub 预设规则优先处理 Dependabot 警报。

要自定义您的自动分流体验，请参阅 自定义自动分流规则以优先处理 Dependabot 警报。