Сведения о Dependabot alerts для уязвимых зависимостей
Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки.
Dependabot сканирует код при добавлении новых рекомендаций в GitHub Advisory Database или графа зависимостей для изменений в репозитории. При обнаружении уязвимых зависимостей создаются Dependabot alerts . Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
Если вы включили Dependabot security updates для репозитория, оповещение также может содержать ссылку на запрос на вытягивание, чтобы обновить манифест или файл блокировки до минимальной версии, которая устраняет уязвимость. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.
Включить или отключить Dependabot alerts можно для:
- вашей личной учетной записи;
- вашего репозитория;
- Ваша организация
Кроме того, можно использовать Правила автообработки зависимостей для управления оповещениями в масштабе, чтобы можно было автоматически закрыть или отклонить оповещения, а также указать, для каких оповещений требуется Dependabot для открытия запросов на вытягивание. Сведения о различных типах правил автоматической сортировки и о том, разрешены ли репозитории, см. в разделе "Сведения о правилах автообработки Dependabot".
Управление Dependabot alerts для личной учетной записи
Dependabot alerts для репозиториев может включить или отключить владелец предприятия. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.
Управление Dependabot alerts для своего репозитория
Вы можете управлять Dependabot alerts для общедоступного, частного или внутреннего репозитория.
По умолчанию мы уведомляем людей с разрешениями на запись, обслуживание или администратор в затронутых репозиториях о новых Dependabot alerts. GitHub Enterprise Server никогда публично не раскрывает небезопасные уязвимости ни для какого репозитория. Вы также можете сделать Dependabot alerts видимыми для дополнительных пользователей или команд, работающих над репозиториями, для которых вы владеете или имеют разрешения администратора.
Владелец предприятия должен сначала настроить Dependabot для вашего предприятия, прежде чем управлять Dependabot alerts для репозитория. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".
Включение и отключение Dependabot alerts для репозитория
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.
-
В разделе "Безопасность и анализ кода" справа от пункта "Dependabot alerts" щелкните Включить, чтобы включить оповещения, или Отключить, чтобы отключить их.
Управление Dependabot alerts для организации
Вы можете включить Dependabot alerts для всех подходящих репозиториев в организации. Дополнительные сведения см. в разделе Сведения о включении функций безопасности в масштабе.