关于 Dependabot alerts 的通知
当 Dependabot 在存储库中检测到漏洞依赖项或恶意软件时,我们将生成 Dependabot 警报,并将其显示在存储库的“安全性”选项卡中。 GitHub 会根据通知首选项将新警报通知给受影响存储库的维护者。 Dependabot 默认在所有公共存储库上启用,并且需要在专用存储库上启用。 默认情况下,你将通过电子邮件收到 Dependabot alerts。 可以通过 https://github.com/settings/notifications 在你的用户通知的设置页面中选择要接收的通知类型或关闭通知来替代默认的总体行为。
无论通知首选项如何设置,首次启用 Dependabot 时,GitHub 不会针对存储库中找到的所有易受攻击的依赖项发送通知。 如果通知首选项允许接收通知,你将收到针对启用 Dependabot 后标识的易受攻击的新依赖项的通知。
如果你是组织所有者,可以对组织中的所有存储库进行一键启用或禁用 Dependabot alerts。 还可以设置是否为新创建的存储库启用或禁用 Dependabot alerts。 有关详细信息,请参阅“管理组织的安全和分析设置”。
配置 Dependabot alerts 的通知
当检测到新的 Dependabot 警报时,GitHub 根据通知偏好通知所有能够访问存储库的 Dependabot alerts 的用户。 如果您正在关注该仓库、已对仓库上的安全警报或所有活动启用通知,并且没有忽略该仓库,您将收到警报。 有关详细信息,请参阅“配置通知”。
您可以从每个页面顶部显示的管理通知下拉菜单 为您自己或您的组织配置通知设置。 有关详细信息,请参阅“配置通知”。
可以选择通知的传递方法,以及通知发送给你的频率。 默认情况下,你将收到通知:
-
在你的收件箱中,作为 Web 通知。 当为存储库启用 Dependabot、将新的清单文件提交到存储库以及发现具有极高或高严重性的新漏洞时,将发送一条 Web 通知(GitHub 选项)。
-
通过电子邮件,当为存储库启用 Dependabot、将新的清单文件提交到存储库以及发现具有极高或高严重性的新漏洞时,将发送一封电子邮件(“电子邮件”选项)。
-
在命令行上,当你推送到具有任何不安全依赖项的存储库时,警告将显示为回调(“CLI”选项)。
-
在 GitHub Mobile 上,作为 web 通知。 有关详细信息,请参阅“配置通知”。
注意:电子邮件和 web/GitHub Mobile 通知是:
-
按存储库:在存储库中启用 Dependabot 时,或者当新的清单文件提交到存储库时。
-
按组织:当发现新的漏洞时。
-
当发现新的漏洞时发送。 GitHub 在更新漏洞时不会发送通知。
可以自定义有关 Dependabot alerts 的通知方式。 例如,可以使用“以电子邮件发送每周摘要”选项通过电子邮件接收最多 10 个存储库的每周警报摘要。
注意: 可以在 GitHub 上筛选通知以显示 Dependabot alerts。 有关详细信息,请参阅“从收件箱管理通知”。
影响一个或多个存储库的 Dependabot alerts 的电子邮件通知包括 X-GitHub-Severity 标头字段。 可以使用 X-GitHub-Severity 标头字段的值来筛选 Dependabot alerts 的电子邮件通知。 有关详细信息,请参阅“配置通知”。
如何减少 Dependabot alerts 通知的干扰
如果您想要收到太多 Dependabot alerts 的通知,我们建议您选择加入每周的电子邮件摘要,或者在保持 Dependabot alerts 启用时关闭通知。 仍可导航到存储库的“安全性”选项卡来查看 Dependabot alerts。有关详细信息,请参阅“查看和更新 Dependabot 警报”。