关于 Dependabot 警报通知
当 Dependabot 在您的代码库中检测到易受攻击的依赖项时,我们会生成 Dependabot 警报,并在代码库的“**安全**”选项卡中显示。GitHub 会根据维护人员的通知偏好,向受影响代码库的维护人员发送有关新警报的通知。Dependabot 在所有公共代码库中默认启用,需要在私有代码库中启用。默认情况下,您将通过电子邮件接收 Dependabot 警报。您可以在用户通知设置页面 https://github.com/settings/notifications 中选择要接收的通知类型或完全关闭通知,以覆盖默认的整体行为。
Dependabot 不会为恶意软件生成 Dependabot 警报。有关更多信息,请参阅“关于 GitHub 安全公告数据库”。
无论您的通知偏好如何,首次启用 Dependabot 时,GitHub 不会发送有关在您的代码库中发现的所有易受攻击依赖项的通知。相反,如果您允许通知偏好设置,则会在启用 Dependabot 后识别出新的易受攻击依赖项时收到通知。
如果您是组织所有者,您可以一键启用或禁用组织中所有代码库的 Dependabot 警报。您还可以设置在添加新创建的代码库时是否启用或禁用 Dependabot 警报。有关更多信息,请参阅“管理组织的安全和分析设置”。
配置 Dependabot 警报通知
检测到新的 Dependabot 警报时,GitHub 会根据用户的通知偏好,向所有有权访问代码库 Dependabot 警报的用户发送通知。如果您正在关注代码库,已启用安全警报或代码库所有活动的通知,并且未忽略代码库,则您将收到警报。有关更多信息,请参阅“配置通知”。
您可以从每个页面顶部显示的“管理通知”下拉菜单中配置您自己或您组织的通知设置。有关更多信息,请参阅“配置通知”。
您可以选择通知的传递方式,以及发送通知的频率。默认情况下,您将收到通知
- 在您的收件箱中,以网页通知的形式。当为代码库启用 Dependabot 时,当新的清单文件提交到代码库时,以及当发现具有严重或高危级别的新的漏洞时(**GitHub 上**选项),系统会发送网页通知。
- 通过电子邮件。当为代码库启用 Dependabot 时,当新的清单文件提交到代码库时,以及当发现具有严重或高危级别的新的漏洞时(**电子邮件**选项),系统会发送电子邮件。
- 在命令行上。当您向包含任何不安全依赖项的代码库推送代码时,警告会以回调的形式显示(**CLI** 选项)。
- 在 GitHub Mobile 上,以网页通知的形式。更多信息,请参阅“配置通知”。
注意
电子邮件和网页/GitHub Mobile 通知是
- 每个代码库,当在代码库上启用 Dependabot 时,或当新的清单文件提交到代码库时。
- 每个组织,当发现新的漏洞时。
- 发现新的漏洞时发送。当漏洞更新时,GitHub 不会发送通知。
您可以自定义您收到 Dependabot 警报通知的方式。例如,您可以使用**每周摘要电子邮件**选项接收每日或每周摘要电子邮件,总结多达 10 个代码库的警报。
注意
您可以在 GitHub 上筛选您的通知以显示 Dependabot 警报。更多信息,请参阅“管理收件箱中的通知”。
影响一个或多个代码库的 Dependabot 警报的电子邮件通知包含X-GitHub-Severity 头字段。您可以使用X-GitHub-Severity 头字段的值来筛选 Dependabot 警报的电子邮件通知。更多信息,请参阅“配置通知”。
如何减少 Dependabot 警报通知的干扰
如果您担心收到太多 Dependabot 警报通知,我们建议您选择每周电子邮件摘要,或关闭通知同时保持 Dependabot 警报启用。您仍然可以导航到代码库的**安全**选项卡查看您的 Dependabot 警报。更多信息,请参阅“查看和更新 Dependabot 警报”。