Skip to main content

Настройка оповещений Dependabot

Включите создание Dependabot alerts при обнаружении новой уязвимой зависимости в одном из репозиториев.

Кто может использовать эту функцию?

Сведения о Dependabot alerts для уязвимых зависимостей

Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки.

Dependabot сканирует код при добавлении новых рекомендаций в GitHub Advisory Database или графа зависимостей для изменений в репозитории. При обнаружении уязвимых зависимостей создаются Dependabot alerts . Дополнительные сведения см. в разделе «Сведения об оповещениях Dependabot».

Если вы включили Dependabot security updates для репозитория, оповещение также может содержать ссылку на запрос на вытягивание, чтобы обновить манифест или файл блокировки до минимальной версии, которая устраняет уязвимость. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.

Включить или отключить Dependabot alerts можно для:

  • вашей личной учетной записи;
  • вашего репозитория;
  • Ваша организация

Кроме того, можно использовать Правила автообработки зависимостей для управления оповещениями в масштабе, чтобы можно было автоматически закрыть или отклонить оповещения, а также указать, для каких оповещений требуется Dependabot для открытия запросов на вытягивание. Сведения о различных типах правил автоматической сортировки и о том, разрешены ли репозитории, см. в разделе "Сведения о правилах автообработки Dependabot".

Управление Dependabot alerts для личной учетной записи

Dependabot alerts для репозиториев может включить или отключить владелец предприятия. Дополнительные сведения см. в разделе «Включение Dependabot для предприятия».

Управление Dependabot alerts для своего репозитория

Вы можете управлять Dependabot alerts для общедоступного, частного или внутреннего репозитория.

По умолчанию мы уведомляем людей с разрешениями на запись, обслуживание или администратор в затронутых репозиториях о новых Dependabot alerts. GitHub Enterprise Server никогда публично не раскрывает небезопасные уязвимости ни для какого репозитория. Вы также можете сделать Dependabot alerts видимыми для дополнительных пользователей или команд, работающих над репозиториями, для которых вы владеете или имеют разрешения администратора.

Владелец предприятия должен сначала настроить Dependabot для вашего предприятия, прежде чем управлять Dependabot alerts для репозитория. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".

Включение и отключение Dependabot alerts для репозитория

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Code securityCode security and analysis.

  4. В разделе "Code security and analysis", справа от Dependabot alerts, нажмите кнопку "Включить оповещения" или "Отключить" для отключения оповещений.

Управление Dependabot alerts для организации

Вы можете включить или отключить Dependabot alerts для некоторых или всех репозиториев, принадлежащих вашей организации. Дополнительные сведения о включении функций безопасности в организации см. в статье "Краткое руководство по защите организации".

Владелец предприятия должен сначала настроить Dependabot для вашего предприятия, прежде чем управлять Dependabot alerts для репозитория. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".

Включение и отключение Dependabot alerts для всех существующих репозиториев

Общие сведения о безопасности можно использовать для поиска набора репозиториев и включения или отключения данных Dependabot alerts для них одновременно. Дополнительные сведения см. в разделе «Включение функций безопасности для нескольких репозиториев».

Вы также можете использовать страницу параметров организации для "Code security and analysis" для включения или отключения Dependabot alerts для всех существующих репозиториев в организации.

  1. В правом верхнем углу GitHubвыберите свой фото профиля, а затем выберите Ваши организации**.
  2. Рядом с организацией щелкните Параметры.
  3. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.
  4. В разделе "Code security and analysis", справа от Dependabot alerts, нажмите кнопку "Отключить все" или "Включить все".
  5. При необходимости, чтобы включить Dependabot alerts по умолчанию для новых репозиториев в организации, в диалоговом окне выберите "Включить по умолчанию для новых репозиториев".
  6. Нажмите кнопку Отключить Dependabot alerts или ВключитьDependabot alerts, чтобы отключить или включить Dependabot alerts для всех своих репозиториев.