我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

配置 GitHub Dependabot 安全更新

您可以使用 GitHub Dependabot 安全更新 或手动拉取请求轻松地更新有漏洞的依赖项。

本文内容

关于 GitHub Dependabot 安全更新

Dependabot 监控安全通告,如 GitHub Advisory Database 和 WhiteSource,并在仓库的依赖关系图中检测到新的有漏洞依赖项时自动触发拉取请求。 有关 GitHub Advisory Database 的更多信息,请参阅“关于 GitHub Advisory Database”。

The pull request will upgrade the dependency to the minimum possible secure version needed to avoid the vulnerability.

Note: It's good practice to have automated tests and acceptance processes in place so that checks are carried out before the pull request is merged. This is particularly important if the suggested version to upgrade to contains additional functionality, or a change that breaks your project's code. For more information about continuous integration, see "About continuous integration."

Dependabot 在有漏洞依赖项的警报中包含拉取请求的链接。 更多信息请参阅“关于易受攻击的依赖项的警报”和“关于依赖关系图”。

每个安全更新都包含快速、安全地查看提议的修复程序并将其合并到项目中所需的全部内容。 这包括漏洞的相关信息,如发行说明、变更日志条目和提交详细信息。 无法访问仓库的 Dependabot 警报的任何人都看不到拉取请求所解决的漏洞详细信息。

当您合并包含安全更新的拉取请求时,仓库的相应警报将被标记为已解决。

GitHub Dependabot 安全更新 只解决依赖关系图跟踪的依赖项中的安全漏洞。 安全更新创建的目标不是解决托管在私有仓库中的私有注册表或包中的漏洞。 但是,如果间接或过渡的依赖项已在锁定文件或类似文件中明确定义,则会包含在内。 更多信息请参阅“关于依赖关系图”。 此外,对于被检测出漏洞的依赖项,必须强调 GitHub Dependabot 安全更新 自动使用建议用于锁定文件的修复程序创建拉取请求。

您可以为任何使用 Dependabot 警报和依赖关系图的仓库启用 GitHub Dependabot 安全更新。 您可以对个别仓库或所有由您的用户帐户或组织拥有的仓库禁用 GitHub Dependabot 安全更新。 For more information, see "Managing GitHub Dependabot 安全更新 for your repositories" below.

GitHub Dependabot and all related features are covered by GitHub's Terms of Service.

支持的仓库

GitHub 自动为符合这些前提条件的每个仓库启用 GitHub Dependabot 安全更新。

自动启用前提条件更多信息
存储库不是复刻"关于复刻"
仓库未存档"存档仓库"
仓库是公共的,或者仓库是私有的但您在仓库的设置中启用了 GitHub 只读分析、依赖关系图和漏洞警报。管理私有仓库的数据使用设置”。
仓库包含软件包生态系统中 GitHub 支持的依赖项清单文件"支持的软件包生态系统"
GitHub Dependabot 安全更新 未对仓库禁用"管理仓库的 GitHub Dependabot 安全更新"
仓库尚未使用集成进行依赖项管理关于集成

Note: You can manually enable GitHub Dependabot 安全更新, even if the repository doesn't meet some of the prerequisites above, by following the instructions in "Managing GitHub Dependabot 安全更新 for your repositories."

如果未为存储库启用安全更新,并且您不知道原因么,请先尝试使用以下程序部分的说明启用它们。 如果安全更新还是不工作,您可以联系支持

关于兼容性分数

GitHub Dependabot 安全更新 还包括兼容性分数,以便您了解更新漏洞是否可能导致对项目的重大更改。 我们从已生成特定安全更新的公共仓库中查看此前通过的 CI 测试,以了解更新是否会导致测试失败。 更新的兼容性分数是在依赖项的相关版本之间进行更新时,CI 运行被视为通过的百分比。

Managing GitHub Dependabot 安全更新 for your repositories

您可以对单个仓库启用或禁用 GitHub Dependabot 安全更新。

You can also enable or disable GitHub Dependabot 安全更新 for all repositories owned by your user account or organization. For more information, see "Managing security and analysis settings for your user account" or "Managing security and analysis settings for your organization."

GitHub Dependabot 安全更新 需要特定的仓库设置。 更多信息请参阅“支持的仓库”。

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)
    Security 选项卡
  3. In the security sidebar, click Dependabot alerts.
    Dependabot alerts tab
  4. 在警报列表的上方,使用下拉菜单并选择或取消选择 Dependabot security updates(Dependabot 安全更新)
    包含启用 GitHub Dependabot 安全更新 的选项的下拉菜单

延伸阅读

问问别人

找不到要找的内容?

联系我们