Skip to main content

Сведения об оповещениях Dependabot

GitHub AE отправляет Dependabot alerts при выявлении того, что ваш репозиторий использует уязвимую зависимость.

Dependabot alerts можно бесплатно использовать для репозиториев (принадлежащих пользователю и организации) в GitHub AE.

Сведения о Dependabot alerts

Dependabot alerts сообщает вам, что ваш код использует небезопасный пакет.

Если ваш код зависит от пакета с уязвимостью системы безопасности, это может вызвать ряд проблем для вашего проекта или его пользователей. Как можно быстрее выполните обновление до защищенной версии.

Дополнительные сведения см. в статье Просмотр рекомендаций по безопасности в GitHub Advisory Database.

Выявление небезопасных зависимостей

Примечание. Dependabot alerts в настоящее время доступен в бета-версии и может быть изменен.

Dependabot выполняет проверку для выявления небезопасных зависимостей и отправляет Dependabot alerts, когда:

  • Новые данные рекомендаций синхронизируются с your enterprise каждый час из GitHub.com. Дополнительные сведения см. в статье Просмотр рекомендаций по безопасности в GitHub Advisory Database.

    Примечание. Только рекомендации, которые были проверены GitHub, будут активировать Dependabot alerts.

  • Изменился граф зависимостей для репозитория. Например, когда участник отправляет фиксацию для изменения пакетов или версий, она зависит от . Дополнительные сведения см. в разделе Сведения о графе зависимостей.

Кроме того, GitHub позволяет просматривать любые зависимости, добавляемые, обновляемые или удаляемые в запросе на вытягивание к ветви по умолчанию в репозитории, а также помечать любые изменения, которые могут снизить уровень безопасности проекта. Это позволяет обнаружить уязвимые зависимости до того, как они достигнут вашей базы кода, а не после. Дополнительные сведения см. в разделе Просмотр изменений зависимостей в запросе на вытягивание.

Список экосистем, для которых GitHub AE выявляет уязвимости и зависимости, см. в разделе Поддерживаемые экосистемы пакетов.

Примечание. Важно поддерживать актуальность файлов манифеста и блокировки. Если граф зависимостей не отражает в точности текущие зависимости и версии, вы можете пропустить оповещения для используемых небезопасных зависимостей. Вы также можете получать оповещения о зависимостях, которые больше не используются.

Настройка Dependabot alerts

Владельцы предприятия должны включить Dependabot alerts для your enterprise, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для вашего предприятия.

Когда GitHub AE определяет уязвимую зависимость, мы создаем оповещение Dependabot и отображаем его в графе зависимостей репозитория. Оповещение содержит сведения об исправленной версии. GitHub AE также может уведомлять ответственных за обслуживание затронутых репозиториев о новом оповещении в соответствии с настройками уведомлений. Дополнительные сведения см. в статье Настройка уведомлений для Dependabot alerts.

Примечание. Для функций безопасности GitHub AE не заявляется о возможности обнаруживать все уязвимости. Мы активно поддерживаем GitHub Advisory Database и создаем оповещения с самыми актуальными сведениями. Но мы не можем обнаружить все вредоносные программы или сообщить вам обо всех известных зависимостях за гарантированный интервал времени. Эти функции не заменяют выполняемую человеком проверку каждой зависимости на наличие потенциальных уязвимостей или любых других проблем, поэтому рекомендуется консультироваться со специалистами службы безопасности или при необходимости проводить тщательный анализ зависимостей.

Доступ к Dependabot alerts

Вы можете просмотреть все оповещения, влияющие на конкретный проект в графе зависимостей репозитория. Дополнительные сведения см. в статье Просмотр и обновление Dependabot alerts.

По умолчанию мы уведомляем пользователей с разрешениями администратора в затронутых репозиториях о новых Dependabot alerts.

Вы можете выбрать способ доставки уведомлений, а также интервал отправки уведомлений. Дополнительные сведения см. в статье Настройка уведомлений для Dependabot alerts.

Вы также можете просмотреть все Dependabot alerts, соответствующие определенной рекомендации, в GitHub Advisory Database. Дополнительные сведения см. в статье Просмотр рекомендаций по безопасности в GitHub Advisory Database.