我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

关于管理有漏洞依赖项

GitHub 有助于避免使用包含已知漏洞的第三方软件。

GitHub 提供以下工具来删除和避免有漏洞依赖项。

依赖关系图

依赖项图是存储在仓库中的清单和锁定文件的摘要。 它显示您的代码库所依赖的生态系统和软件包(其依赖项)以及依赖于您的项目的仓库和包(其从属项)。 依赖关系图中的信息用于依赖项审查和 Dependabot。 更多信息请参阅“关于依赖关系图”。

依赖项审查

通过检查拉取请求的依赖项审查,可以避免将依赖项的漏洞引入到代码库中。 如果拉取请求添加了有漏洞依赖项,或者将依赖项更改为有漏洞的版本,这将在依赖项审查中高亮显示。 您可以在合并拉取请求之前将依赖项更改为修补版本。 更多信息请参阅“关于依赖项审查”。

Dependabot 警报

检测到仓库中存在有漏洞依赖项时,GitHub 可创建 Dependabot 警报。 警报显示在仓库的 Security(安全)选项卡上。 该警报包括指向项目中受影响的文件的链接,以及有关修复的版本的信息。 GitHub 还根据仓库维护员的通知首选项通知他们。 更多信息请参阅“关于易受攻击的依赖项的警报”。

Dependabot 安全更新

当 GitHub 针对仓库中的有漏洞依赖项生成 Dependabot 警报时,Dependabot 可以自动尝试为您修复它。 Dependabot 安全更新 是自动生成的拉取请求,用于将有漏洞依赖项更新到修复版本。 更多信息请参阅“关于 Dependabot 安全更新”。

Dependabot 版本更新

启用 Dependabot 版本更新 帮助您维护依赖项。 有了 Dependabot 版本更新,每当 GitHub 发现过时的依赖项,它就会提出拉取请求,以将清单更新到依赖项的最新版本。 而 Dependabot 安全更新 只是提出拉取请求以修复有漏洞依赖项。 更多信息请参阅“关于 Dependabot 版本更新”。

此文档对您有帮助吗?

Privacy policy

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。