Skip to main content

Сведения о правилах автообработки Dependabot

Правила автообработки зависимостей — это мощный инструмент, помогающий лучше управлять оповещениями системы безопасности в масштабе. Предустановки GitHub — это правила, курируемые GitHub, которые можно использовать для фильтрации значительного количества ложных срабатываний. Пользовательские правила автоматической сортировки обеспечивают контроль над тем, какие оповещения игнорируются, сносятся или активируют обновление системы безопасности Dependabot для разрешения оповещения.

Кто может использовать эту функцию?

Правила автообработки зависимостей доступны для следующих типов репозитория:

  • Все репозитории для Предустановки GitHub
  • Репозитории, принадлежащие организации, с GitHub Advanced Security включены для пользовательские правила автоматической сортировки

О Правила автообработки зависимостей

Правила автообработки зависимостей позволяет указать Dependabot автоматически выполнять сортировку Dependabot alerts. Вы можете использовать Правила автоматической сортировки для автоматического закрытия или отмены определенных оповещений или указания оповещений, для которого требуется Dependabot для открытия запросов на вытягивание.

Существует два типа данных Правила автообработки зависимостей:

  • Предустановки GitHub
  • Пользовательские правила автоматической сортировки

О Предустановки GitHub

Note

Предустановки GitHub для Dependabot alerts — это правила, доступные для всех репозиториев.

Предустановки GitHub — это правила, курируемые GitHub. Это Dismiss low impact issues for development-scoped dependencies предустановленное правило GitHub . Это правило автоматически закрывает определенные типы уязвимостей, обнаруженные в зависимостях npm, используемых в разработке. Правило было проверено, чтобы уменьшить ложные срабатывания и уменьшить усталость оповещений. Невозможно изменить Предустановки GitHub. Дополнительные сведения о Предустановки GitHubсм. в разделе "Использование предустановленных правил GitHub для определения приоритетов оповещений Dependabot".

Правило включено по умолчанию для общедоступных репозиториев и может быть включено для частных репозиториев. Правило для частного репозитория можно включить с помощью вкладки "Параметры" для репозитория. Дополнительные сведения см. в Dismiss low impact issues for development-scoped dependencies разделе "Включение правила для частного репозитория".

О пользовательские правила автоматической сортировки

Note

Пользовательские правила автоматической сортировки для Dependabot alerts доступны в любых репозиториях, принадлежащих организации, с помощью GitHub Enterprise Cloud с GitHub Advanced Security включен.

С помощью пользовательские правила автоматической сортировкиможно создать собственные правила для автоматического закрытия или повторного открытия оповещений на основе целевых метаданных, таких как серьезность, имя пакета, CWE и многое другое. Вы также можете указать, какие оповещения требуется Dependabot для открытия запросов на вытягивание. Дополнительные сведения см. в разделе Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.

Вы можете создать пользовательские правила на вкладке "Параметры " репозитория, если репозиторий принадлежит организации, имеющей лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе "Добавление настраиваемых правил автоматической сортировки" в репозиторий.

Сведения об автоматическом закрытии оповещений

Хотя вы можете найти полезно использовать правила автоматической обработки для автоматического закрытия оповещений, вы по-прежнему можете повторно открыть автоматически снятые оповещения и фильтр, чтобы увидеть, какие оповещения были автоматически отклонены. Дополнительные сведения см. в разделе Управление оповещениями, которые были автоматически отклонены правилом auto-triage Dependabot.

Кроме того, автоматическое закрытие оповещений по-прежнему доступно для создания отчетов и проверки, и может быть автоматически повторно открыт при изменении метаданных оповещений, например:

  • Если изменить область зависимости от разработки на рабочую среду.
  • Если GitHub изменяет определенные метаданные для связанных рекомендаций.

Автоматическое закрытие оповещений resolution:auto-dismiss определяется по причине закрытия. Автоматическое отключение действий включается в веб-перехватчики оповещений, ИНТЕРФЕЙСы API REST и GraphQL и журнал аудита. Дополнительные сведения см. в разделе [AUTOTITLE и разделе "repository_vulnerability_alert" в Конечные точки REST API для Dependabot alerts](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/reviewing-the-audit-log-for-your-organization#repository_vulnerability_alert-category-actions).

Дополнительные материалы