关于 Dependabot 自动分类规则
Dependabot 自动分类规则允许您指示 Dependabot 自动对 Dependabot 警报进行分类。您可以使用自动分类规则自动驳回或延迟某些警报,或指定您希望 Dependabot 为其打开拉取请求的警报。
Dependabot 自动分类规则有两种类型
- GitHub 预设规则
- 自定义自动分类规则
关于 GitHub 预设规则
Dependabot 警报的 GitHub 预设规则是所有存储库都可用的规则。
GitHub 预设规则是由 GitHub 策划的规则。Dismiss low impact issues for development-scoped dependencies 是一个 GitHub 预设规则。此规则会自动驳回在开发中使用的 npm 依赖项中发现的某些类型的漏洞。该规则经过策划以减少误报并减少警报疲劳。您无法修改 GitHub 预设规则。有关 GitHub 预设规则的更多信息,请参阅“使用 GitHub 预设规则优先处理 Dependabot 警报”。
此规则在公共存储库中默认启用,并且可以在私有存储库中选择加入。您可以通过存储库的“**设置**”选项卡为私有存储库启用此规则。有关更多信息,请参阅“为您的私有存储库启用 Dismiss low impact issues for development-scoped dependencies 规则”。
关于自定义自动分类规则
Dependabot 警报的自定义自动分类规则在公共存储库中可用。
使用自定义自动分类规则,您可以创建自己的规则,根据目标元数据(如严重性、包名称、CWE 等)自动驳回或重新打开警报。您还可以指定您希望 Dependabot 为其打开拉取请求的警报。有关更多信息,请参阅“自定义自动分类规则以优先处理 Dependabot 警报”。
您可以从存储库的“**设置**”选项卡创建自定义规则。有关更多信息,请参阅“将自定义自动分类规则添加到您的存储库”。
关于自动驳回警报
虽然您可能会发现使用自动分类规则自动驳回警报很有用,但您仍然可以重新打开自动驳回的警报并进行筛选以查看哪些警报已被自动驳回。有关更多信息,请参阅“管理 Dependabot 自动分类规则自动驳回的警报”。
此外,自动驳回的警报仍可用于报告和审查,如果警报元数据发生更改,则可以自动重新打开,例如
- 如果您将依赖项的范围从开发更改为生产。
- 如果 GitHub 修改了相关咨询的某些元数据。
自动驳回的警报由 resolution:auto-dismiss 关闭原因定义。自动驳回活动包含在警报 Webhook、REST 和 GraphQL API 以及审核日志中。有关更多信息,请参阅“Dependabot 警报的 REST API 端点”以及“审查组织的审核日志”中的“repository_vulnerability_alert”部分。