Skip to main content

Сведения о правилах автообработки Dependabot

Правила автообработки зависимостей — это мощный инструмент, помогающий лучше управлять оповещениями системы безопасности в масштабе. Предустановки GitHub — это правила, курируемые GitHub, которые можно использовать для фильтрации значительного количества ложных срабатываний. Пользовательские правила автоматической сортировки обеспечивают контроль над тем, какие оповещения игнорируются, сносятся или активируют обновление системы безопасности Dependabot для разрешения оповещения.

Кто может использовать эту функцию?

People with write permissions can view Правила автообработки зависимостей for the repository. People with admin permissions to a repository can enable or disable Правила автоматической сортировки for the repository, as well as create пользовательские правила автоматической сортировки. Additionally, organization owners and security managers can set Правила автоматической сортировки at the organization-level and optionally choose to enforce rules for repositories in the organization.

Примечание. Правила автообработки зависимостей в настоящее время находятся в бета-версии и подвергаются изменению.

О Правила автообработки зависимостей

Правила автообработки зависимостей позволяет указать Dependabot автоматически выполнять сортировку Dependabot alerts. Вы можете использовать Правила автоматической сортировки для автоматического закрытия или отмены определенных оповещений или указания оповещений, для которого требуется Dependabot для открытия запросов на вытягивание.

Существует два типа данных Правила автообработки зависимостей:

  • Предустановки GitHub
  • Пользовательские правила автоматической сортировки

О Предустановки GitHub

Предустановки GitHub для Dependabot alerts — это правила, доступные для всех репозиториев.

Предустановки GitHub — это правила, курируемые GitHub. Это Dismiss low impact issues for development-scoped dependencies предустановленное правило GitHub . Это правило автоматически закрывает определенные типы уязвимостей, обнаруженные в зависимостях npm, используемых в разработке. Правило было проверено, чтобы уменьшить ложные срабатывания и уменьшить усталость оповещений. Невозможно изменить Предустановки GitHub. Дополнительные сведения о Предустановки GitHubсм. в разделе "Использование предустановленных правил GitHub для определения приоритетов оповещений Dependabot".

Правило включено по умолчанию для общедоступных репозиториев и может быть включено для частных репозиториев. Правило для частного репозитория можно включить с помощью вкладки "Параметры" для репозитория. Дополнительные сведения см. в разделе "Включение правила для частного репозитория".Dismiss low impact issues for development-scoped dependencies

О пользовательские правила автоматической сортировки

Пользовательские правила автоматической сортировки для Dependabot alerts доступны в любых репозиториях, принадлежащих организации, если у вас есть лицензия на GitHub Advanced Security.

С помощью пользовательские правила автоматической сортировкиможно создать собственные правила для автоматического закрытия или повторного открытия оповещений на основе целевых метаданных, таких как серьезность, имя пакета, CWE и многое другое. Вы также можете указать, какие оповещения требуется Dependabot для открытия запросов на вытягивание. Дополнительные сведения см. в разделе Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.

Вы можете создать пользовательские правила на вкладке "Параметры " репозитория, если репозиторий принадлежит организации, имеющей лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе "Добавление настраиваемых правил автоматической сортировки в репозиторий".

Сведения об автоматическом закрытии оповещений

Хотя вы можете найти полезно использовать правила автоматической обработки для автоматического закрытия оповещений, вы по-прежнему можете повторно открыть автоматически снятые оповещения и фильтр, чтобы увидеть, какие оповещения были автоматически отклонены. Дополнительные сведения см. в разделе Управление оповещениями, которые были автоматически отклонены правилом auto-triage Dependabot.

Кроме того, автоматическое закрытие оповещений по-прежнему доступно для создания отчетов и проверки, и может быть автоматически повторно открыт при изменении метаданных оповещений, например:

  • Если изменить область зависимости от разработки на рабочую среду.
  • Если GitHub изменяет определенные метаданные для связанных рекомендаций.

Автоматическое закрытие оповещений resolution:auto-dismiss определяется по причине закрытия. Автоматическое отключение действий включается в веб-перехватчики оповещений, ИНТЕРФЕЙСы API REST и GraphQL и журнал аудита. Дополнительные сведения см. в разделе "AUTOTITLE[" и разделе "repository_vulnerability_alert" в разделе "AUTOTITLE".](/rest/dependabot/alerts)

Дополнительные материалы