自定义自动分流规则以优先处理 Dependabot 警报

您可以创建自己的自动分流规则,以控制哪些警报被解除或延迟,以及您希望 Dependabot 为哪些警报打开拉取请求。

谁可以使用此功能?

  • 组织所有者
  • 安全管理员
  • 拥有 admin 访问权限的用户(可以为仓库启用、禁用和查看自动分流规则,并可以创建自定义自动分流规则)

GitHub 预设适用于所有仓库类型。

自定义自动分流规则适用于以下仓库类型

  • GitHub.com 上的公共仓库
  • 在启用了 GitHub 代码安全 的 GitHub Team 中的组织拥有的仓库

本文内容

关于自定义自动分流规则

您可以根据警报元数据创建自己的 Dependabot 自动分流规则。您可以选择无限期自动解除警报,或在补丁可用之前延迟警报,并且可以指定哪些 Dependabot 警报需要 Dependabot 打开拉取请求。规则会在发送警报通知之前生效,因此创建自动解除低风险警报的自定义规则可以降低未来的通知噪音。

由于您创建的任何规则均适用于未来和当前的警报,您还可以使用自动分流规则批量管理警报。

仓库管理员可以为其仓库创建自定义自动分流规则。对于私有或内部仓库,这需要 GitHub Code Security。

组织所有者和安全管理员可以在组织层面设置自定义自动分流规则,然后选择是否在组织内所有公共和私有仓库中强制或启用该规则。

  • 强制:如果组织层面的规则被“强制”,仓库管理员将无法编辑、禁用或删除该规则。
  • 启用:如果组织层面的规则被“启用”,仓库管理员仍然可以为其仓库禁用该规则。

注意

如果组织层面的规则与仓库层面的规则指定了冲突的行为,则以组织层面规则的操作为准。解除规则始终优先于触发 Dependabot 拉取请求的规则。

您可以使用以下元数据创建针对警报的规则

  • CVE 编号
  • CWE 编号
  • 依赖范围(devDependencyruntime
  • 生态系统
  • GHSA 编号
  • 清单路径(仅适用于仓库级规则)
  • 软件包名称
  • 补丁可用性
  • 严重程度
  • EPSS 分数

了解自定义自动分流规则与 Dependabot 安全更新的交互方式

注意

Dependabot 只会打开拉取请求来解决 Dependabot 警报,而不会处理 Dependabot 恶意软件警报。

您可以使用自定义自动分流规则来定制 Dependabot 为哪些警报打开拉取请求。然而,要使“打开拉取请求”规则生效,必须确保该规则适用的仓库(或仓库集合)的 Dependabot 安全更新已被禁用

当仓库启用了 Dependabot 安全更新时,Dependabot 会自动尝试为每个拥有可用补丁的开启的 Dependabot 警报打开拉取请求,以每个为单位。如果您希望通过规则自定义此行为,则必须保持 Dependabot 安全更新处于禁用状态。

有关在仓库中启用或禁用 Dependabot 安全更新的更多信息,请参阅配置 Dependabot 安全更新

将自定义自动分流规则添加到您的仓库

注意

在公开预览期间,您可以为仓库创建最多 10 条自定义自动分流规则。

  1. 在 GitHub 上,导航至仓库的主页面。

  2. 在仓库名称下方,点击 设置. If you cannot see the "Settings" tab, select the dropdown menu, then click 设置.

    Screenshot of a repository header showing the tabs. The "Settings" tab is highlighted by a dark orange outline.

  3. 在侧边栏的Security部分,点击 Advanced Security

  4. 在 “Dependabot” 部分,位于 “Dependabot rules” 右侧,点击.

  5. 点击 新建规则

  6. 在 “规则名称” 下,描述此规则的作用。

  7. 在 “状态” 下,使用下拉菜单选择该规则在仓库中是启用还是禁用。

  8. 在 “目标警报” 下,选择用于过滤警报的元数据。

  9. 在 “规则” 下,选择针对符合元数据的警报要执行的操作

    • 选择 解除警报 来自动解除符合元数据的警报。您可以选择无限期解除警报或直到补丁可用为止。

    • 如果您希望 Dependabot 提出更改以解决符合目标元数据的警报,请选择 打开拉取请求以解决此警报。请注意,如果您已选择无限期解除警报,或在仓库设置中启用了 Dependabot 安全更新,则此选项不可用。

      注意

      Dependabot 只会打开拉取请求来解决 Dependabot 警报,而不会处理 Dependabot 恶意软件警报。

  10. 点击 创建规则

将自定义自动分流规则添加到您的组织

您可以为组织中所有符合条件的仓库添加自定义自动分流规则。有关更多信息,请参阅配置组织的全局安全设置

编辑或删除仓库的自定义自动分流规则

  1. 在 GitHub 上,导航至仓库的主页面。

  2. 在仓库名称下方,点击 设置. If you cannot see the "Settings" tab, select the dropdown menu, then click 设置.

    Screenshot of a repository header showing the tabs. The "Settings" tab is highlighted by a dark orange outline.

  3. 在侧边栏的Security部分,点击 Advanced Security

  4. 在 “Dependabot” 部分,位于 “Dependabot rules” 右侧,点击.

  5. 在 “仓库规则” 下,您想要编辑或删除的规则右侧,点击.

  6. 要编辑规则,请对相应字段进行更改,然后点击 保存规则

  7. 要删除规则,请在 “危险区域” 下,点击 删除规则

  8. 在 “您确定要删除此规则吗?” 对话框中,检查信息后,点击 删除规则

编辑或删除组织的自定义自动分流规则

您可以编辑或删除组织中所有符合条件仓库的自定义自动分流规则。有关更多信息,请参阅配置组织的全局安全设置

© . This site is unofficial and not affiliated with GitHub, Inc.