Skip to main content

Über Auto-Triage-Regeln von Dependabot

Dependabot auto-triage rules sind ein leistungsstarkes Tool, das Ihnen die Verwaltung Ihrer Sicherheitswarnungen im großen Stil erleichtert. Die Standardregeln von Dependabot sind für Sie kuratiert und filtern eine beträchtliche Menge von False Positives heraus. Mit Benutzerdefinierte Regeln für die automatische Triage lässt sich steuern, welche Warnungen ignoriert oder auf Standby gesetzt werden sollen oder ein Dependabot-Sicherheitsupdate zum Auflösen der Warnung auslösen sollen.

Wer kann dieses Feature verwenden?

People with write permissions can view Dependabot auto-triage rules for the repository. People with admin permissions to a repository can enable or disable Regeln für die automatische Triage for the repository, as well as create Benutzerdefinierte Regeln für die automatische Triage. Additionally, organization owners and security managers can set Regeln für die automatische Triage at the organization-level and optionally choose to enforce rules for repositories in the organization.

Hinweis: Dependabot auto-triage rules befinden sich derzeit im Beta-Stadium und können sich noch ändern.

Informationen zu Dependabot auto-triage rules

Mit Dependabot auto-triage rules können Sie Dependabot zur automatischen Triage von Dependabot alerts veranlassen. Anhand von Regeln für die automatische Triage können Sie gewisse Warnungen automatisch schließen oder auf Standby setzen oder angeben, für welche Warnungen Dependabot Pull Requests öffnen soll.

Es gibt zwei Arten von Dependabot auto-triage rules:

  • GitHub-kuratierte Standardregeln
  • Benutzerdefinierte Regeln für die automatische Triage

Die GitHub-kuratierte Standardregel, Dismiss low impact issues for development-scoped dependencies, schließt bestimmte Arten von Sicherheitsrisiken automatisch aus, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden. Die Regel wurde erstellt, um falsch positive Ergebnisse zu reduzieren und das Abstumpfen des Benutzers gegenüber Warnungen zu verhindern. Die Regel ist standardmäßig für öffentliche Repositorys aktiviert und kann für private Repositorys aktiviert werden. Es ist jedoch nicht möglich, GitHub-kuratierte Standardregeln zu ändern. Weitere Informationen findest du unter Verwendung von GitHub kuratierten Standardregeln zum Priorisieren von Dependabot-Warnungen.

Mit Benutzerdefinierte Regeln für die automatische Triage können Sie Ihre eigenen Regeln erstellen, um Warnungen auf der Grundlage von gezielten Metadaten eigenen Kriterien, wie Schweregrad, Paketname, CWE, usw. automatisch zu verwerfen oder wieder zu öffnen. Sie können auch individuell festlegen, für welche Warnungen Dependabot Pull Requests öffnen soll. Weitere Informationen findest du unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.

Auch wenn es sinnvoll ist, Warnungsmeldungen automatisch zu verwerfen, können Sie automatisch verworfene Warnmeldungen erneut öffnen und filtern, um zu sehen, welche Warnmeldungen automatisch verworfen wurden. Weitere Informationen findest du unter Verwalten von Warnungen, die von einer Dependabot-Auto-Triage-Regel automatisch geschlossen wurden.

Darüber hinaus stehen automatisch verworfene Warnungsmeldungen weiterhin für Berichte und Überprüfungen zur Verfügung und können automatisch wieder geöffnet werden, wenn sich z. B. die Metadaten der Warnmeldung ändern:

  • Wenn du den Bereich einer Abhängigkeit von der Entwicklung in die Produktion änderst.
  • Wenn GitHub bestimmte Metadaten für die entsprechende Empfehlung ändert.

Automatisch verworfene Warnungen werden durch den Grund für die Schließung resolution:auto-dismiss definiert. Die Aktivität der automatischen Schließung ist in Warnungswebhooks, REST- und GraphQL-APIs sowie im Überwachungsprotokoll enthalten. Für weitere Informationen siehe „Dependabot alerts“ in der REST API Dokumentation und der „repository_vulnerability_alert“ Sektion in „Auditprotokoll deiner Organisation überprüfen.“

Weiterführende Themen