Skip to main content

此版本的 GitHub Enterprise 已停止服务 2022-06-03. 即使针对重大安全问题,也不会发布补丁。 要获得更好的性能、改进的安全性和新功能,请升级到 GitHub Enterprise 的最新版本。 如需升级方面的帮助,请联系 GitHub Enterprise 支持

查看和更新 Dependabot 警报

如果 GitHub Enterprise Server 发现项目中存在不安全的依赖项,您可以在仓库的 Dependabot 警报选项卡中查看详细信息。 然后,您可以更新项目以解决或忽略警报。

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

仓库的 Dependabot 警报 选项卡列出所有打开和关闭的 Dependabot 警报。 可以 对警报列表进行排序,单击特定警报以获取更多详细信息。 您还可以关闭或重新打开警报。 更多信息请参阅“关于 Dependabot 警报”。

查看 Dependabot 警报

  1. 在 您的 GitHub Enterprise Server 实例 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)Security 选项卡
  3. 在安全侧边栏中,单击 Dependabot 警报。 如果缺少此选项,则表示你无权访问安全警报,需要被授予访问权限。 更多信息请参阅“管理存储库的安全和分析设置”。Dependabot 警报 tab
  4. 单击您想要查看的警报。 在警报列表中选择的警报

查看和修复警报

请务必确保所有依赖项都没有任何安全漏洞。 当 Dependabot 发现依赖项中的漏洞时,应评估项目的暴露水平,并确定要采取哪些补救措施来保护应用程序。

如果依赖项有修补的版本可用,则可以生成 Dependabot 请求,以直接从 Dependabot 警报更新此依赖项。 如果您启用了 Dependabot 安全更新,则拉取请求可能会在 Dependabot 警报中链接。

如果修补的版本不可用,或者您无法更新到安全版本,Dependabot 会共享其他信息,以帮助您确定后续步骤。 单击以查看 Dependabot 警报时,可以看到依赖项的安全通告的完整详细信息,包括受影响的功能。 然后,可以检查代码是否调用受影响的函数。 此信息可以帮助您进一步评估风险级别,并确定解决方法或是否能够接受安全公告所代表的风险。

修复有漏洞的依赖项

  1. 查看警报的详细信息。 更多信息请参阅“查看 Dependabot 警报”(上文)。

  2. 可以使用页面上的信息来决定要升级到的依赖项版本,并创建对清单的拉取请求或将文件锁定到安全版本。

  3. 当您准备好更新依赖项并解决漏洞时,合并拉取请求。

忽略 Dependabot 警报

提示: 您只能关闭打开的警报。

如果计划大量工作来升级依赖项,或者决定不需要修复警报,则可以忽略警报。 通过忽略已评估的警报,可以更轻松地在新警报出现时对其进行分类。

  1. 查看警报的详细信息。 更多信息请参阅“查看有漏洞的依赖项”(上文)。
  2. 选择“Dismiss(忽略)”下拉列表,然后单击忽略警报的原因。 选择通过 "Dismiss(忽略)"下拉菜单忽略警报的原因