Сведения о Dependabot alerts
Примечание. Советы для вредоносных программ в настоящее время находятся в бета-версии и могут быть изменены.
Dependabot alerts сообщает вам, что ваш код использует небезопасный пакет.
Если ваш код зависит от пакета с уязвимостью системы безопасности, это может вызвать ряд проблем для вашего проекта или его пользователей. Как можно быстрее выполните обновление до защищенной версии. Если ваш код использует вредоносную программу, вам потребуется заменить пакет защищенным альтернативным решением.
Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.
Выявление небезопасных зависимостей
Dependabot выполняет проверку для выявления небезопасных зависимостей и отправляет Dependabot alerts, когда:
-
В GitHub Advisory Database добавляется новая рекомендация. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.
Примечание. Только рекомендации, которые были проверены GitHub, будут активировать Dependabot alerts.
-
Изменился граф зависимостей для репозитория. Например, когда участник отправляет фиксацию для изменения пакетов или версий, она зависит от или изменения кода одной из зависимостей. Дополнительные сведения см. в разделе Сведения о графе зависимостей.
Примечание. Dependabot не сканирует архивные репозитории.
Кроме того, GitHub позволяет просматривать любые зависимости, добавляемые, обновляемые или удаляемые в запросе на вытягивание к ветви по умолчанию в репозитории, а также помечать любые изменения, которые могут снизить уровень безопасности проекта. Это позволяет обнаружить уязвимые зависимости или вредоносные программы до того, как они достигнут вашей базы кода, а не после. Дополнительные сведения см. в разделе Проверка изменений зависимостей в запросе на вытягивание.
Поскольку Dependabot alerts полагается на граф зависимостей, экосистемы, поддерживаемые Dependabot alerts, совпадают с экосистемами, поддерживаемыми граф зависимостей. Список этих экосистем см. в разделе Сведения о графе зависимостей.
Примечание. Важно поддерживать актуальность файлов манифеста и блокировки. Если граф зависимостей не отражает в точности текущие зависимости и версии, вы можете пропустить оповещения для используемых небезопасных зависимостей. Вы также можете получать оповещения о зависимостях, которые больше не используются.
Настройка Dependabot alerts
GitHub обнаруживает уязвимые зависимости и вредоносные программы в общедоступных репозиториях и отображает граф зависимостей, но не создает Dependabot alerts по умолчанию. Владельцы репозитория или пользователи с правами администратора могут включить Dependabot alerts для общедоступных репозиториев. Владельцы частных репозиториев или пользователи с правами администратора могут включить Dependabot alerts путем включения графа зависимостей и Dependabot alerts для своих репозиториев.
Можно включить или отключить Dependabot alerts для всех репозиториев, принадлежащих вашей организации или учетной записи. Дополнительные сведения см. в разделе Настройка оповещений Dependabot.
Сведения о требованиях к доступу для действий, связанных с Dependabot alerts, см. в разделе Роли репозиториев для организации.
GitHub Enterprise Cloud сразу начинает создавать граф зависимостей и генерирует оповещения для всех небезопасных зависимостей сразу после их выявления. Обычно граф заполняется в течение нескольких минут, но при наличии репозиториев с большим количеством зависимостей это может занять больше времени. Дополнительные сведения см. в разделе Управление параметрами использования данных для частного репозитория.
Когда GitHub Enterprise Cloud определяет уязвимую зависимость или вредоносную программу, мы создаем оповещение Dependabot и отображаем его на вкладке Безопасность репозитория и в граф зависимостей репозитория. Оповещение содержит ссылку на затронутый файл в проекте, а также сведения об исправленной версии. GitHub Enterprise Cloud также может уведомлять ответственных за обслуживание затронутых репозиториев о новом оповещении в соответствии с настройками уведомлений. Дополнительные сведения см. в разделе Настройка уведомлений для оповещений Dependabot.
Для репозиториев, в которых включены Dependabot security updates, оповещение также может содержать ссылку на запрос на вытягивание для обновления файла манифеста или блокировки до минимальной версии, которая устраняет уязвимость. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.
Примечание. Для функций безопасности GitHub Enterprise Cloud не заявляется о возможности обнаруживать все уязвимости и вредоносные программы. Мы активно поддерживаем GitHub Advisory Database и создаем оповещения с самыми актуальными сведениями. Но мы не можем обнаружить все вредоносные программы или сообщить вам обо всех известных зависимостях за гарантированный интервал времени. Эти функции не заменяют выполняемую человеком проверку каждой зависимости на наличие потенциальных уязвимостей или любых других проблем, поэтому рекомендуется консультироваться со специалистами службы безопасности или при необходимости проводить тщательный анализ зависимостей.
Доступ к Dependabot alerts
Вы можете просмотреть все оповещения, влияющие на конкретный проект на вкладке Безопасность репозитория или в граф зависимостей репозитория. Дополнительные сведения см. в разделе Просмотр и обновление оповещений Dependabot.
По умолчанию мы уведомляем пользователей с разрешениями администратора на запись, обслуживание или в затронутых репозиториях о новых Dependabot alerts. GitHub Enterprise Cloud никогда публично не раскрывает небезопасные уязвимости для каких-либо репозиториев. Вы также можете сделать Dependabot alerts видимыми для дополнительных пользователей или команд, работающих с репозиториями, которыми вы владеете или в которых имеете разрешения администратора. Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для репозитория.
Чтобы получать уведомления о Dependabot alerts в репозиториях, необходимо отслеживать эти репозитории и подписаться на получение уведомлений "Все действия" или настроить пользовательские параметры, чтобы добавить "Оповещения безопасности". Дополнительные сведения см. в разделе Настройка уведомлений. Вы можете выбрать способ доставки уведомлений, а также интервал отправки уведомлений. Дополнительные сведения см. в разделе Настройка уведомлений для оповещений Dependabot.
Вы также можете просмотреть все Dependabot alerts, соответствующие определенной рекомендации, в GitHub Advisory Database. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.