cn 我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

查看和更新仓库中有漏洞的依赖项

如果 GitHub 发现项目中存在有漏洞的依赖项,您可以在仓库的 Dependabot 警报选项卡中查看它们。 然后,您可以更新项目以解决或忽略漏洞。

仓库管理员和组织所有者可以查看和更新依赖项。

本文内容

仓库的 Dependabot 警报选项卡列出所有打开和关闭的 Dependabot 警报 以及对应的 Dependabot 安全更新。 您可以使用下拉菜单对警报列表进行排序,并且可以单击特定警报以获取更多详细信息。 更多信息请参阅“关于易受攻击的依赖项的警报”。

您可以为使用 Dependabot 警报 和依赖关系图的任何仓库启用自动安全更新。 更多信息请参阅“关于 Dependabot 安全更新”。

Additionally, GitHub can review any dependencies added, updated, or removed in a pull request made against the default branch of a repository, and flag any changes that would introduce a vulnerability into your project. This allows you to spot and deal with vulnerable dependencies before, rather than after, they reach your codebase. 更多信息请参阅“审查拉取请求中的依赖项更改”。

关于仓库中有漏洞的依赖项的更新

GitHub 在检测到您的代码库正在使用具有已知漏洞的依赖项时会生成 Dependabot 警报。 对于启用了 Dependabot 安全更新 的仓库,当 GitHub 在默认分支中检测到有漏洞的依赖项时,Dependabot 会创建拉取请求来修复它。 拉取请求会将依赖项升级到避免漏洞所需的最低安全版本。

查看和更新有漏洞的依赖项

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)
    Security 选项卡
  3. 在安全侧边栏中,单击 Dependabot 警报
    Dependabot 警报 选项卡
  4. 单击您想要查看的警报。
    在警报列表中选择的警报
  5. 查看漏洞的详细信息以及包含自动安全更新的拉取请求(如果有)。
  6. (可选)如果还没有针对该警报的 Dependabot 安全更新 更新,要创建拉取请求以解决该漏洞,请单击 Create Dependabot security update(创建 Dependabot 安全更新)
    创建 Dependabot 安全更新按钮
  7. 当您准备好更新依赖项并解决漏洞时,合并拉取请求。 Dependabot 提出的每个拉取请求都包含可用于控制 Dependabot 的命令的相关信息。 更多信息请参阅“管理依赖项更新的拉取请求”。
  8. (可选)如果警报正在修复、不正确或位于未使用的代码中,请使用“Dismiss(忽略)”,然后单击忽略警报的原因。
    选择通过 "Dismiss(忽略)"下拉菜单忽略警报的原因

延伸阅读

此文档对您有帮助吗?

Privacy policy

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。