关于针对易受攻击依赖项和恶意软件的 Dependabot alerts
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。
当新的公告添加到 GitHub Advisory Database 或存储库的依赖项关系图发生更改时,Dependabot 会扫描代码。 当检测到易受攻击的依赖项或恶意软件时,会生成 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot alerts”。
可以为以下项启用或禁用 Dependabot alerts:
- 你的个人帐户
- 你的存储库
- 你的组织
为个人帐户管理 Dependabot alerts
可以为你的个人帐户拥有的所有存储库启用或禁用 Dependabot alerts。
为现有存储库启用或禁用 Dependabot alerts
-
在任何页面的右上角,单击个人资料照片,然后单击“设置”。
-
In the "Security" section of the sidebar, click Code security and analysis.
-
在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
-
(可选)默认为创建的新存储库启用 Dependabot alerts。
-
单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你拥有的所有存储库禁用或启用 Dependabot alerts。
为现有存储库启用 Dependabot alerts 时,将在几分钟内看到 GitHub 上显示的任何结果。
为新存储库启用或禁用 Dependabot alerts
-
在任何页面的右上角,单击个人资料照片,然后单击“设置”。
-
In the "Security" section of the sidebar, click Code security and analysis.
-
在“代码安全性和分析”下的 Dependabot alerts 右侧,默认为创建的新存储库启用或禁用 Dependabot alerts。
为存储库管理 Dependabot alerts
可以为公共、私有或内部存储库管理 Dependabot alerts。
默认情况下,我们会向受影响仓库中具有管理员权限的人员通知有关新的 Dependabot alerts。 GitHub 从不公开披露任何存储库的不安全依赖项。 您也可以将 Dependabot alerts 设为对操作您拥有或具有管理员权限的仓库的其他人或团队可见。
如果启用了安全和分析功能,GitHub 将对存储库执行只读分析。 有关详细信息,请参阅“关于 GitHub 对数据的使用”。
为存储库启用或禁用 Dependabot alerts
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。
-
In the "Security" section of the sidebar, click Code security and analysis.
-
在“代码安全和分析”下,在 Dependabot alerts 的右侧,单击“启用”以启用警报或“禁用”以禁用警报 。
为组织管理 Dependabot alerts
可以为组织拥有的所有存储库启用或禁用 Dependabot alerts。 更改会影响所有存储库。
为所有现有存储库启用或禁用 Dependabot alerts
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。
2. 在组织旁边,单击“设置”。
-
In the "Security" section of the sidebar, click Code security and analysis.
-
在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
-
(可选)默认为你组织内的新存储库启用 Dependabot alerts。
-
单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你组织内的所有存储库禁用或启用 Dependabot alerts。
