Hinweis: Dependabot auto-triage rules befinden sich derzeit im Beta-Stadium und können sich noch ändern.
Informationen zu Dependabot auto-triage rules
Mit Dependabot auto-triage rules können Sie Dependabot zur automatischen Triage von Dependabot alerts veranlassen. Anhand von Regeln für die automatische Triage können Sie gewisse Warnungen automatisch schließen oder auf Standby setzen oder angeben, für welche Warnungen Dependabot Pull Requests öffnen soll.
Es gibt zwei Arten von Dependabot auto-triage rules:
- GitHub-Voreinstellungen
- Benutzerdefinierte Regeln für die automatische Triage
Informationen zu GitHub-Voreinstellungen
GitHub-Voreinstellungen für Dependabot alerts sind Regeln, die für alle Repositorys verfügbar sind.
GitHub-Voreinstellungen sind Regeln, die von GitHub zusammengestellt werden. Die Dismiss low impact issues for development-scoped dependencies ist eine voreingestellte Regel für GitHub. Diese Regel schließt automatisch bestimmte Arten von Sicherheitsrisiken, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden. Die Regel wurde erstellt, um falsch positive Ergebnisse zu reduzieren und das Abstumpfen des Benutzers gegenüber Warnungen zu verhindern. Die Regel ist standardmäßig für öffentliche Repositorys aktiviert und kann für private Repositorys aktiviert werden. Es ist jedoch nicht möglich, GitHub-Voreinstellungen zu ändern. Weitere Informationen findest du unter Verwenden von voreingestellten GitHub-Regeln zum Priorisieren von Dependabot-Warnungen.
Informationen zu Benutzerdefinierte Regeln für die automatische Triage
Benutzerdefinierte Regeln für die automatische Triage für Dependabot alerts sind verfügbar (kostenlos) auf öffentlichen Repositorys verfügst.
Mit Benutzerdefinierte Regeln für die automatische Triage können Sie Ihre eigenen Regeln erstellen, um Warnungen auf der Grundlage von gezielten Metadaten eigenen Kriterien, wie Schweregrad, Paketname, CWE, usw. automatisch zu verwerfen oder wieder zu öffnen. Sie können auch individuell festlegen, für welche Warnungen Dependabot Pull Requests öffnen soll. Weitere Informationen findest du unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.
Informationen zum automatischen Schließen von Warnungen
Auch wenn es sinnvoll ist, automatische Triage-Regeln zu verwenden, um Warnungsmeldungen automatisch zu verwerfen, können Sie automatisch verworfene Warnmeldungen erneut öffnen und filtern, um zu sehen, welche Warnmeldungen automatisch verworfen wurden. Weitere Informationen findest du unter Verwalten von Warnungen, die von einer Dependabot-Auto-Triage-Regel automatisch geschlossen wurden.
Darüber hinaus stehen automatisch verworfene Warnungsmeldungen weiterhin für Berichte und Überprüfungen zur Verfügung und können automatisch wieder geöffnet werden, wenn sich z. B. die Metadaten der Warnmeldung ändern:
- Wenn du den Bereich einer Abhängigkeit von der Entwicklung in die Produktion änderst.
- Wenn GitHub bestimmte Metadaten für die entsprechende Empfehlung ändert.
Automatisch verworfene Warnungen werden durch den Grund für die Schließung resolution:auto-dismiss definiert. Die Aktivität der automatischen Schließung ist in Warnungswebhooks, REST- und GraphQL-APIs sowie im Überwachungsprotokoll enthalten. Weitere Informationen finden Sie unter „REST-API-Endpunkte für Dependabot alerts“ und im Abschnitt „repository_vulnerability_alert“ in „Auditprotokoll deiner Organisation überprüfen“.