О Правила автообработки зависимостей
Правила автообработки зависимостей позволяет указать Dependabot автоматически выполнять сортировку Dependabot alerts. Вы можете использовать Правила автоматической сортировки для автоматического закрытия или отмены определенных оповещений или указания оповещений, для которого требуется Dependabot для открытия запросов на вытягивание.
Существует два типа данных Правила автообработки зависимостей:
- Предустановки GitHub
- Пользовательские правила автоматической сортировки
О Предустановки GitHub
Предустановки GitHub для Dependabot alerts — это правила, доступные для всех репозиториев.
Предустановки GitHub — это правила, курируемые GitHub. Это Dismiss low impact issues for development-scoped dependencies
предустановленное правило GitHub . Это правило автоматически закрывает определенные типы уязвимостей, обнаруженные в зависимостях npm, используемых в разработке. Правило было проверено, чтобы уменьшить ложные срабатывания и уменьшить усталость оповещений. Невозможно изменить Предустановки GitHub. Дополнительные сведения о Предустановки GitHubсм. в разделе "Использование предустановленных правил GitHub для определения приоритетов оповещений Dependabot".
Правило включено по умолчанию для общедоступных репозиториев и может быть включено для частных репозиториев. Правило для частного репозитория можно включить с помощью вкладки "Параметры" для репозитория. Дополнительные сведения см. в разделе "Включение правила для частного репозитория".Dismiss low impact issues for development-scoped dependencies
О пользовательские правила автоматической сортировки
Пользовательские правила автоматической сортировки для Dependabot alerts доступны для репозиториев, принадлежащих организации, в GitHub Enterprise Server. Для этой функции требуется лицензия на GitHub Advanced Security.
С помощью пользовательские правила автоматической сортировкиможно создать собственные правила для автоматического закрытия или повторного открытия оповещений на основе целевых метаданных, таких как серьезность, имя пакета, CWE и многое другое. Вы также можете указать, какие оповещения требуется Dependabot для открытия запросов на вытягивание. Дополнительные сведения см. в разделе Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.
Вы можете создать пользовательские правила на вкладке "Параметры " репозитория. Дополнительные сведения см. в разделе "Добавление настраиваемых правил автоматической сортировки в репозиторий".
Сведения об автоматическом закрытии оповещений
Хотя вы можете найти полезно использовать правила автоматической обработки для автоматического закрытия оповещений, вы по-прежнему можете повторно открыть автоматически снятые оповещения и фильтр, чтобы увидеть, какие оповещения были автоматически отклонены. Дополнительные сведения см. в разделе Управление оповещениями, которые были автоматически отклонены правилом auto-triage Dependabot.
Кроме того, автоматическое закрытие оповещений по-прежнему доступно для создания отчетов и проверки, и может быть автоматически повторно открыт при изменении метаданных оповещений, например:
- Если изменить область зависимости от разработки на рабочую среду.
- Если GitHub изменяет определенные метаданные для связанных рекомендаций.
Автоматическое закрытие оповещений resolution:auto-dismiss
определяется по причине закрытия. Автоматическое отключение действий включается в веб-перехватчики оповещений, ИНТЕРФЕЙСы API REST и GraphQL и журнал аудита. Дополнительные сведения см. в разделе "AUTOTITLE[" и разделе "repository_vulnerability_alert
" в разделе "AUTOTITLE".](/rest/dependabot/alerts)