关于管理有漏洞依赖项

GitHub 有助于避免使用包含已知漏洞的第三方软件。

GitHub 提供以下工具来删除和避免有漏洞依赖项。

依赖关系图

依赖项图是存储在仓库中的清单和锁定文件的摘要。 它显示您的代码库所依赖的生态系统和软件包(其依赖项)以及依赖于您的项目的仓库和包(其从属项)。 依赖关系图中的信息用于依赖项审查和 Dependabot。 更多信息请参阅“关于依赖关系图”。

依赖项审查

通过检查拉取请求的依赖项审查,可以避免将依赖项的漏洞引入到代码库中。 如果拉取请求添加了有漏洞依赖项,或者将依赖项更改为有漏洞的版本,这将在依赖项审查中高亮显示。 您可以在合并拉取请求之前将依赖项更改为修补版本。 更多信息请参阅“关于依赖项审查”。

Dependabot 警报

检测到仓库中存在有漏洞依赖项时,GitHub 可创建 Dependabot 警报。 警报显示在仓库的 Security(安全)选项卡上。 该警报包括指向项目中受影响的文件的链接,以及有关修复的版本的信息。 GitHub 还根据仓库维护员的通知首选项通知他们。 更多信息请参阅“关于易受攻击的依赖项的警报”。

Dependabot 安全更新

当 GitHub 针对仓库中的有漏洞依赖项生成 Dependabot 警报时,Dependabot 可以自动尝试为您修复它。 Dependabot 安全更新 是自动生成的拉取请求,用于将有漏洞依赖项更新到修复版本。 更多信息请参阅“关于 Dependabot 安全更新”。

Dependabot 版本更新

启用 Dependabot 版本更新 帮助您维护依赖项。 有了 Dependabot 版本更新,每当 GitHub 发现过时的依赖项,它就会提出拉取请求,以将清单更新到依赖项的最新版本。 而 Dependabot 安全更新 只是提出拉取请求以修复有漏洞依赖项。 更多信息请参阅“关于 Dependabot 版本更新”。

此文档对您有帮助吗?隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。