关于 Dependabot alerts 的通知
当 Dependabot 在存储库中检测到漏洞依赖项时,我们将生成 Dependabot 警报,并将其显示在存储库的“安全性”选项卡中。**** GitHub 会根据通知首选项将新警报通知给受影响仓库的维护者。 Dependabot 默认在所有公共仓库上启用,并且需要在专用仓库上启用。 默认情况下,你将通过电子邮件收到 Dependabot alerts。 可以通过 https://github.com/settings/notifications 在你的用户通知的设置页面中选择要接收的通知类型或关闭通知来替代默认的总体行为。
Dependabot 不会为恶意软件生成 Dependabot alerts。 有关详细信息,请参阅“关于 GitHub 公告数据库”。
无论通知首选项如何设置,首次启用 Dependabot 时,GitHub 不会针对仓库中找到的所有易受攻击的依赖项发送通知。 如果通知首选项允许接收通知,你将收到针对 Dependabot 启用后新标识的易受攻击的依赖项的通知。
如果你是组织所有者,可以对组织中的所有存储库进行一键启用或禁用 Dependabot alerts。 还可以设置是否为新创建的存储库启用或禁用 Dependabot alerts。 有关详细信息,请参阅“管理组织的安全和分析设置”。
配置 Dependabot alerts 的通知
当检测到新的 Dependabot 警报时,GitHub 根据通知首选项通知所有能够访问仓库的 Dependabot alerts 的用户。 如果您正在关注该仓库、已对仓库上的安全警报或所有活动启用通知,并且没有忽略该仓库,您将收到警报。 有关详细信息,请参阅“配置通知”。
您可以从每个页面顶部显示的管理通知下拉菜单 为您自己或您的组织配置通知设置。 有关详细信息,请参阅“配置通知”。
可以选择通知的传递方法,以及通知发送给你的频率。 默认情况下,你将收到通知:
- 在你的收件箱中,作为 Web 通知。 当为存储库启用 Dependabot、将新的清单文件提交到存储库以及发现具有极高或高严重性的新漏洞时,将发送一条 Web 通知(GitHub 选项)。
- 通过电子邮件。 当为存储库启用 Dependabot、将新的清单文件提交到存储库以及发现具有极高或高严重性的新漏洞时,将发送一封电子邮件(“电子邮件”选项)。
- 在命令行上。 当推送到具有任何不安全依赖项的存储库(“CLI”选项)时,警告会显示为回调。
- 在 GitHub Mobile 上,作为 Web 通知。 有关详细信息,请参阅“配置通知”。
Note
电子邮件和网页/GitHub Mobile 通知是:
- 按存储库:在存储库中启用 Dependabot 时,或者当新的清单文件提交到存储库时。
- 按组织:当发现新的漏洞时。
- 当发现新的漏洞时发送。 GitHub 在更新漏洞时不会发送通知。
可以自定义有关 Dependabot alerts 的通知方式。 例如,可以使用“以电子邮件发送每周摘要”选项通过电子邮件接收最多 10 个存储库的每周警报摘要。
Note
可以在 GitHub 上筛选通知以显示 Dependabot alerts。 有关详细信息,请参阅“从收件箱管理通知”。
影响一个或多个存储库的 Dependabot alerts 的电子邮件通知包括 X-GitHub-Severity 标头字段。 可以使用 X-GitHub-Severity 标头字段的值来筛选 Dependabot alerts 的电子邮件通知。 有关详细信息,请参阅 配置通知。
如何减少 Dependabot alerts 通知的干扰
如果担心收到过多的 Dependabot alerts 通知,建议利用 Dependabot 自动分类规则 自动消除低风险警报。 规则在发送警报通知之前应用,因此在创建时自动消除的警报不会发送通知。 有关详细信息,请参阅“关于 Dependabot 自动分类规则”。
或者,可以选择加入每周电子邮件摘要,甚至完全关闭通知,同时保持 Dependabot alerts 处于启用状态。 你仍可导航到仓库的“Security”选项卡查看 Dependabot alerts。**** 有关详细信息,请参阅“查看和更新 Dependabot 警报”。