关于管理有漏洞依赖项

GitHub Enterprise Server 有助于避免使用包含已知漏洞的第三方软件。

GitHub Enterprise Server 提供以下工具来删除和避免有漏洞依赖项。

依赖关系图

依赖项图是存储在仓库中的清单和锁定文件的摘要。 它显示您的代码库所依赖的生态系统和软件包(其依赖项)以及依赖于您的项目的仓库和包(其从属项)。 依赖关系图中的信息用于依赖项审查和 Dependabot。 更多信息请参阅“关于依赖关系图”。

依赖项审查

注意:依赖项审查目前处于测试阶段,可能会更改。

通过检查拉取请求的依赖项审查,可以避免将依赖项的漏洞引入到代码库中。 如果拉取请求添加了有漏洞依赖项,或者将依赖项更改为有漏洞的版本,这将在依赖项审查中高亮显示。 您可以在合并拉取请求之前将依赖项更改为修补版本。 更多信息请参阅“关于依赖项审查”。

Dependabot 警报

检测到仓库中存在有漏洞依赖项时,GitHub Enterprise Server 可创建 Dependabot 警报。 警报显示在仓库的 Security(安全)选项卡上。 该警报包括指向项目中受影响的文件的链接,以及有关修复的版本的信息。 GitHub Enterprise Server 还根据仓库维护员的通知首选项通知他们。 更多信息请参阅“关于易受攻击的依赖项的警报”。

此文档对您有帮助吗?

隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或者, 了解如何参与。