Skip to main content

配置 Dependabot 警报

启用相关选项,使得在存储库之一发现新的易受攻击依赖项时生成 Dependabot alerts。

关于易受攻击的依赖项的 Dependabot alerts

漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。

当新的公告添加到 GitHub Advisory Database 或存储库的依赖项关系图发生更改时,Dependabot 会扫描代码。 当检测到易受攻击的依赖项时,会生成 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。

如果已启用存储库的 Dependabot security updates,警报中还会包含一个拉取请求链接,用于将清单或锁定文件更新到可解决该漏洞的最低版本。 有关详细信息,请参阅“关于 Dependabot 安全更新”。

可以为以下项启用或禁用 Dependabot alerts:

  • 你的个人帐户
  • 你的存储库
  • 你的组织
  • 你的企业

为个人帐户管理 Dependabot alerts

可以为你的个人帐户拥有的所有存储库启用或禁用 Dependabot alerts。

为现有存储库启用或禁用 Dependabot alerts

  1. 在任何页面的右上角,单击个人资料照片,然后单击“设置”。

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  2. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  3. 在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。

  4. (可选)若要默认为创建的新存储库启用 Dependabot alerts,请在对话框中选择“默认为新存储库启用”。

  5. 单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你拥有的所有存储库禁用或启用 Dependabot alerts。

为现有存储库启用 Dependabot alerts 时,将在几分钟内看到 GitHub 上显示的任何结果。

为新存储库启用或禁用 Dependabot alerts

  1. 在任何页面的右上角,单击个人资料照片,然后单击“设置”。

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  2. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  3. 在“代码安全和分析”下的 Dependabot alerts 右侧,选择“自动为新存储库启用”。

为存储库管理 Dependabot alerts

可以为公共、私有或内部存储库管理 Dependabot alerts。

默认情况下,我们会向受影响存储库中具有写入、维护或管理员权限的人员发出有关新 Dependabot alerts 的通知。 GitHub Enterprise Cloud 从不公开披露任何存储库的不安全依赖项。 你也可以将 Dependabot alerts 设为对操作你拥有的或具有管理员权限的存储库的其他人或团队可见。

如果启用了安全和分析功能,GitHub 将对存储库执行只读分析。

为存储库启用或禁用 Dependabot alerts

  1. 在 GitHub.com 上,导航到存储库的主页。

  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 在“代码安全和分析”下,在 Dependabot alerts 的右侧,单击“启用”以启用警报或“禁用”以禁用警报 。

为组织管理 Dependabot alerts

可以为组织拥有的部分或所有存储库启用或禁用 Dependabot alerts。 有关在整个组织中启用安全功能的详细信息,请参阅“保护你的组织”。

为所有现有存储库启用或禁用 Dependabot alerts

可以使用安全概述来查找一组存储库,并同时为它们启用或禁用 Dependabot alerts。 有关详细信息,请参阅“为多个存储库启用安全功能”。

还可以使用“代码安全性和分析”的组织设置页,为组织中的所有现有存储库启用或禁用 Dependabot alerts。

  1. 在 GitHub.com 的右上角,选择个人资料照片,然后单击 “你的组织”****。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。

  2. 在组织旁边,单击“设置”。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。

  5. (可选)若要默认为组织中的新存储库启用 Dependabot alerts,请在对话框中选择“默认为新存储库启用”。

  6. 单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你组织内的所有存储库禁用或启用 Dependabot alerts。

为企业管理 Dependabot alerts

可以在企业中为组织拥有的所有现有和未来的存储库启用或禁用 Dependabot alerts。 更改会影响所有存储库。

注意:在企业级启用或禁用 Dependabot alerts 时,它将替代 Dependabot alerts 的组织级别和存储库级别设置。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  2. 在企业列表中,单击您想要查看的企业。

  3. 在企业帐户边栏中,单击“设置”。

  4. 在左侧边栏中,单击“代码安全性和分析”。

  5. 在“Dependabot”部分的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。

  6. (可选)选择“自动为新存储库启用”,默认为组织的新存储库启用 Dependabot alerts。