Skip to main content

查看和更新仓库中有漏洞的依赖项

如果 GitHub Enterprise Server 发现项目中存在有漏洞的依赖项,您可以在仓库的 Dependabot 警报选项卡中查看它们。 然后,您可以更新项目以解决或忽略漏洞。

Repository administrators and organization owners can view and update dependencies.

Your repository's Dependabot 警报 tab lists all open and closed Dependabot 警报. 您可以选择下拉菜单对警报列表进行排序,并且可以单击特定警报以获取更多详细信息。 更多信息请参阅“关于易受攻击的依赖项的警报”。

此外, GitHub 可以查看在针对仓库默认分支的拉取请求中添加、更新或删除的任何依赖项,并标记任何将漏洞引入项目的变化。 这允许您在易受攻击的依赖项到达您的代码库之前发现并处理它们,而不是事后处理。 更多信息请参阅“审查拉取请求中的依赖项更改”。

查看和更新有漏洞的依赖项

  1. 在 your GitHub Enterprise Server instance 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)Security 选项卡
  3. 在安全侧边栏中,点击 Dependabot 警报Dependabot 警报 tab
  4. 单击您想要查看的警报。 在警报列表中选择的警报
  5. 查看漏洞的详细信息,并确定您是否需要更新依赖项。
  6. 当您合并拉取请求以将清单或锁定文件更新为依赖项的安全版本时,这将解决警报。 或者,如果您决定不更新依赖项,请选择 Dismiss(忽略)下拉菜单,并单击忽略警报的原因。 选择通过 "Dismiss(忽略)"下拉菜单忽略警报的原因

延伸阅读