👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Learn more on the GitHub blog.


我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

查看和更新仓库中有漏洞的依赖项

If GitHub discovers vulnerable dependencies in your project, you can view them on the Dependabot alerts tab of your repository. Then, you can update your project to resolve or dismiss the vulnerability.

Repository administrators and organization owners can view and update dependencies.

仓库的 GitHub Dependabot 警报选项卡列出所有打开和关闭的 GitHub Dependabot 警报 以及对应的 GitHub Dependabot 安全更新。 您可以使用下拉菜单对警报列表进行排序,并且可以单击特定警报以获取更多详细信息。 For more information, see "About alerts for vulnerable dependencies."

您可以为使用 GitHub Dependabot 警报 和依赖关系图的任何仓库启用自动安全更新。 更多信息请参阅“配置 GitHub Dependabot 安全更新”。

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)
    Security 选项卡
  3. 在安全边栏中,单击 Dependabot alerts(Dependabot 警报)
    Dependabot 警报选项卡
  4. 单击您想要查看的警报。
    在警报列表中选择的警报
  5. 查看漏洞的详细信息以及包含自动安全更新的拉取请求(如果有)。
  6. (可选)如果还没有针对该警报的 GitHub Dependabot 安全更新 更新,要创建拉取请求以解决该漏洞,请单击 Create Dependabot security update(创建 Dependabot 安全更新)
    创建 Dependabot 安全更新按钮
  7. 当您准备好更新依赖项并解决漏洞时,合并拉取请求。
  8. Optionally, if the alert is being fixed, if it's incorrect, or located in unused code, use the "Dismiss" drop-down, and click a reason for dismissing the alert.
    Choosing reason for dismissing the alert via the "Dismiss" drop-down

延伸阅读

问问别人

找不到要找的内容?

联系我们