Настройка оповещений Dependabot

Включите создание Dependabot alerts при обнаружении новой уязвимой зависимости в одном из репозиториев.

В этой статье

Сведения о Dependabot alerts для уязвимых зависимостей

Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки.

Dependabot сканирует код при добавлении новых рекомендаций в GitHub Advisory Database или графа зависимостей для изменений в репозитории. При обнаружении уязвимых зависимостей создаются Dependabot alerts . Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

Если вы включили Dependabot security updates для репозитория, оповещение также может содержать ссылку на запрос на вытягивание, чтобы обновить манифест или файл блокировки до минимальной версии, которая устраняет уязвимость. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.

Включить или отключить Dependabot alerts можно для:

  • вашей личной учетной записи;
  • вашего репозитория;
  • Ваша организация

Кроме того, можно использовать Правила автообработки зависимостей для управления оповещениями в масштабе, чтобы можно было автоматически закрыть или отклонить оповещения, а также указать, для каких оповещений требуется Dependabot для открытия запросов на вытягивание. Сведения о различных типах правил автоматической сортировки и о том, разрешены ли репозитории, см. в разделе "Сведения о правилах автообработки Dependabot".

Управление Dependabot alerts для личной учетной записи

Dependabot alerts для репозиториев может включить или отключить владелец предприятия. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

Управление Dependabot alerts для своего репозитория

Вы можете управлять Dependabot alerts для общедоступного, частного или внутреннего репозитория.

По умолчанию мы уведомляем людей с разрешениями admin permissions в затронутых репозиториях о новых Dependabot alerts. GitHub Enterprise Server никогда публично не раскрывает небезопасные уязвимости ни для какого репозитория. Вы также можете сделать Dependabot alerts видимыми для дополнительных пользователей или команд, работающих над репозиториями, для которых вы владеете или имеют разрешения администратора.

Владелец предприятия должен сначала настроить Dependabot для вашего предприятия, прежде чем управлять Dependabot alerts для репозитория. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".

Включение и отключение Dependabot alerts для репозитория

  1. На ваш экземпляр GitHub Enterprise Serverперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

  4. В разделе "Безопасность и анализ кода" справа от пункта "Dependabot alerts" щелкните Включить, чтобы включить оповещения, или Отключить, чтобы отключить их.

Управление Dependabot alerts для организации

Вы можете включить или отключить Dependabot alerts для некоторых или всех репозиториев, принадлежащих вашей организации. Дополнительные сведения о включении функций безопасности в организации см. в разделе "Краткое руководство по защите организации".

Владелец предприятия должен сначала настроить Dependabot для вашего предприятия, прежде чем управлять Dependabot alerts для репозитория. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".

Включение и отключение Dependabot alerts для всех существующих репозиториев

Общие сведения о безопасности можно использовать для поиска набора репозиториев и включения или отключения данных Dependabot alerts для них одновременно. Дополнительные сведения см. в разделе Включение функций безопасности для нескольких репозиториев.

Вы также можете использовать страницу параметров организации для параметра "Безопасность кода и анализ", чтобы включить или отключить Dependabot alerts для всех существующих репозиториев в организации.

  1. В правом верхнем углу GitHubвыберите фото профиля, а затем выберите Ваши организации.
  2. Рядом с организацией щелкните Параметры.
  3. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

Note

Если ваша организация зарегистрирована в общедоступной бета-версии security configurations и global settings общедоступной бета-версии, а не в разделе "Безопасность кода и анализ", появится раскрывающееся меню "Безопасность кода". Выберите Безопасность кода, а затем выберите глобальные параметры. Дальнейшие действия по включению Dependabot alerts и других функций безопасности в масштабе с помощью security configurationsсм. в разделе "Применение рекомендуемой конфигурации безопасности GitHub в организации".

  1. В разделе "Безопасность и анализ кода" справа от Dependabot alerts нажмите кнопку Отключить все или Включить все.
  2. При необходимости, чтобы включить Dependabot alerts по умолчанию для новых репозиториев в организации, в диалоговом окне выберите "Включить по умолчанию для новых репозиториев".
  3. Нажмите кнопку Отключить Dependabot alerts или ВключитьDependabot alerts, чтобы отключить или включить Dependabot alerts для всех своих репозиториев.