关于针对漏洞依赖项的 Dependabot 警报
漏洞是项目代码中的一个问题,可能会被利用来破坏项目的机密性、完整性或可用性,或破坏使用其代码的其他项目。漏洞的类型、严重性和攻击方法各不相同。
Dependabot 会在向 GitHub 安全建议数据库添加新的建议或代码库的依赖关系图发生更改时扫描代码。检测到漏洞依赖项后,将生成 Dependabot 警报。有关详细信息,请参阅“关于 Dependabot 警报”。
如果您已为您的代码库启用了 Dependabot 安全更新,则警报可能还包含指向拉取请求的链接,该拉取请求将清单或锁定文件更新到解决漏洞的最低版本。有关详细信息,请参阅“关于 Dependabot 安全更新”。
您可以启用或禁用 Dependabot 警报:
- 您的个人帐户
- 您的代码库
- 您的组织
此外,您可以使用 Dependabot 自动分类规则大规模管理您的警报,以便您可以自动驳回或暂停警报,并指定您希望 Dependabot 为其打开拉取请求的警报。有关不同类型的自动分类规则以及您的代码库是否符合条件的信息,请参阅“关于 Dependabot 自动分类规则”。
管理您的个人帐户的 Dependabot 警报
您可以为您的个人帐户拥有的所有代码库启用或禁用 Dependabot 警报。
为现有代码库启用或禁用 Dependabot 警报
- 在 GitHub 上任何页面的右上角,单击您的个人资料照片,然后单击 设置.
- 在侧边栏的“安全”部分,点击 代码安全和分析。
- 在“代码安全和分析”下,Dependabot 提醒的右侧,点击全部禁用或全部启用。
- 可选:要为创建的新仓库默认启用 Dependabot 提醒,请在对话框中选择“为新仓库默认启用”。
- 点击禁用 Dependabot 提醒或启用 Dependabot 提醒来禁用或启用您拥有的所有仓库的 Dependabot 提醒。
当您为现有仓库启用 Dependabot 提醒时,您将在几分钟内看到 GitHub 上显示的任何结果。
为新仓库启用或禁用 Dependabot 提醒
- 在 GitHub 上任何页面的右上角,单击您的个人资料照片,然后单击 设置.
- 在侧边栏的“安全”部分,点击 代码安全和分析。
- 在“代码安全和分析”下,Dependabot 提醒的右侧,选择为新仓库自动启用。
管理您的仓库的 Dependabot 提醒
您可以管理您的公共、私有或内部仓库的 Dependabot 提醒。
默认情况下,我们会通知在受影响的仓库中具有写入、维护或管理员权限的人员有关新的 Dependabot 提醒。GitHub 绝不会公开披露任何仓库的不安全依赖项。您还可以使 Dependabot 提醒对参与您拥有或拥有管理员权限的仓库的其他人员或团队可见。
如果您启用安全和分析功能,GitHub 将对您的仓库执行只读分析。
为仓库启用或禁用 Dependabot 提醒
-
在 GitHub 上,导航到仓库的主页。
-
在您的仓库名称下,点击 设置。如果您看不到“设置”选项卡,请选择下拉菜单,然后点击设置。
-
在侧边栏的“安全”部分,点击 代码安全和分析。
-
在“代码安全和分析”下,Dependabot 提醒的右侧,点击启用以启用提醒或禁用以禁用提醒。
管理您的组织的 Dependabot 提醒
您可以为组织中的所有符合条件的仓库启用 Dependabot 提醒。有关更多信息,请参阅“关于大规模启用安全功能”。