Сведения о Dependabot alerts для уязвимых зависимостей
Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки.
Dependabot сканирует код при добавлении новых рекомендаций в GitHub Advisory Database или графа зависимостей для изменений в репозитории. При обнаружении уязвимых зависимостей создаются Dependabot alerts . Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
Если вы включили Dependabot security updates для репозитория, оповещение также может содержать ссылку на запрос на вытягивание, чтобы обновить манифест или файл блокировки до минимальной версии, которая устраняет уязвимость. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.
Включить или отключить Dependabot alerts можно для:
- вашей личной учетной записи;
- вашего репозитория;
- Ваша организация
Управление Dependabot alerts для личной учетной записи
Dependabot alerts для репозиториев может включить или отключить владелец предприятия. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.
Управление Dependabot alerts для своего репозитория
Вы можете управлять Dependabot alerts для общедоступного, частного или внутреннего репозитория.
По умолчанию мы уведомляем людей с разрешениями admin permissions в затронутых репозиториях о новых Dependabot alerts. GitHub Enterprise Server никогда публично не раскрывает небезопасные уязвимости ни для какого репозитория. Вы также можете сделать Dependabot alerts видимыми для дополнительных пользователей или команд, работающих над репозиториями, для которых вы владеете или имеют разрешения администратора.
Владелец предприятия должен сначала настроить Dependabot для вашего предприятия, прежде чем управлять Dependabot alerts для репозитория. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".
Включение и отключение Dependabot alerts для репозитория
-
На ваш экземпляр GitHub Enterprise Serverперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.
-
В разделе "Безопасность и анализ кода" справа от пункта "Dependabot alerts" щелкните Включить, чтобы включить оповещения, или Отключить, чтобы отключить их.
Управление Dependabot alerts для организации
Вы можете включить или отключить Dependabot alerts для некоторых или всех репозиториев, принадлежащих вашей организации. Дополнительные сведения о включении функций безопасности в организации см. в разделе "Краткое руководство по защите организации".
Владелец предприятия должен сначала настроить Dependabot для вашего предприятия, прежде чем управлять Dependabot alerts для репозитория. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".
Включение и отключение Dependabot alerts для всех существующих репозиториев
Вы можете использовать страницу параметров организации для "Безопасность кода и анализ", чтобы включить Dependabot alerts для всех существующих репозиториев в организации.
-
В правом верхнем углу GitHubвыберите фото профиля, а затем выберите Ваши организации.
-
Рядом с организацией щелкните Параметры.
-
В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.
-
В разделе "Безопасность и анализ кода" справа от Dependabot alerts нажмите кнопку Отключить все или Включить все.
-
При необходимости, чтобы включить Dependabot alerts по умолчанию для новых репозиториев в организации, в диалоговом окне выберите "Включить по умолчанию для новых репозиториев".
-
Нажмите кнопку Отключить Dependabot alerts или ВключитьDependabot alerts, чтобы отключить или включить Dependabot alerts для всех своих репозиториев.