关于针对易受攻击依赖项和恶意软件的 Dependabot alerts
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。
当新的公告添加到 GitHub Advisory Database 或存储库的依赖项关系图发生更改时,Dependabot 会扫描代码。 当检测到易受攻击的依赖项或恶意软件时,会生成 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot alerts”。
可以为以下项启用或禁用 Dependabot alerts:
- 你的个人帐户
- 你的存储库
- 你的组织
为个人帐户管理 Dependabot alerts
可以为你的个人帐户拥有的所有存储库启用或禁用 Dependabot alerts。
为现有存储库启用或禁用 Dependabot alerts
-
在任何页面的右上角,单击个人资料照片,然后单击“设置”。
-
在侧边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
-
(可选)默认为创建的新存储库启用 Dependabot alerts。
-
单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你拥有的所有存储库禁用或启用 Dependabot alerts。
为现有存储库启用 Dependabot alerts 时,将在几分钟内看到 GitHub 上显示的任何结果。
为新存储库启用或禁用 Dependabot alerts
-
在任何页面的右上角,单击个人资料照片,然后单击“设置”。
-
在侧边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全性和分析”下的 Dependabot alerts 右侧,默认为创建的新存储库启用或禁用 Dependabot alerts。
为存储库管理 Dependabot alerts
可以为公共、私有或内部存储库管理 Dependabot alerts。
默认情况下,我们会向受影响仓库中具有管理员权限的人员通知有关新的 Dependabot alerts。 GitHub 从不公开披露任何存储库的不安全依赖项。 你也可以将 Dependabot alerts 设为对操作你拥有的或具有管理员权限的存储库的其他人或团队可见。
如果启用了安全和分析功能,GitHub 将对存储库执行只读分析。 有关详细信息,请参阅“关于 GitHub 对数据的使用”。
为存储库启用或禁用 Dependabot alerts
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全和分析”下,在 Dependabot alerts 的右侧,单击“启用”以启用警报或“禁用”以禁用警报 。
为组织管理 Dependabot alerts
可以为组织拥有的所有存储库启用或禁用 Dependabot alerts。 更改会影响所有存储库。
为所有现有存储库启用或禁用 Dependabot alerts
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。
2. 在组织旁边,单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
-
(可选)默认为你组织内的新存储库启用 Dependabot alerts。
-
单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你组织内的所有存储库禁用或启用 Dependabot alerts。