Skip to main content

关于 Dependabot 自动分类规则

Dependabot 自动分类规则 是一种功能强大的工具,有助于更好地大规模管理安全警报。 Dependabot 的默认规则经过特选,可筛选出大量误报。 自定义自动分类规则 可控制应被忽略、被排除或触发 Dependabot 安全更新的警报来解决警报。

Who can use this feature?

People with write permissions can view Dependabot 自动分类规则 for the repository. People with admin permissions to a repository can enable or disable 自动分类规则 for the repository, as well as create 自定义自动分类规则. Additionally, organization owners and security managers can set 自动分类规则 at the organization-level and optionally choose to enforce rules for repositories in the organization.

**注意:**Dependabot 自动分类规则 目前为 beta 版本,可能会随时变动。

关于 Dependabot 自动分类规则

Dependabot 自动分类规则 允许你指示 Dependabot 自动对 Dependabot alerts 进行分类。 你可以使用 自动分类规则 自动关闭或推迟某些警报,或指定希望 Dependabot 为其打开拉取请求的警报。

Dependabot 自动分类规则 有两种类型:

  • GitHub 特选的默认规则
  • 自定义自动分类规则

GitHub 特选的默认规则 Dismiss low impact issues for development-scoped dependencies 可自动消除在开发中使用的 npm 依赖项中发现的某些类型的漏洞。 该规则经过特选,以减少误报并减少警报疲劳。 默认情况下,将为公共存储库启用该规则,也可以为专用存储库选择启用该规则。 但是,不能修改 GitHub 特选的默认规则。 有关详细信息,请参阅“使用 GitHub 特选的默认规则确定 Dependabot 警报的优先级”。

使用 自定义自动分类规则,你可以创建自有规则,根据目标元数据自动消除或重新打开警报,例如严重性、包名称、CWE 等。 你还可以指定希望 Dependabot 为其打开拉取请求的警报。 有关详细信息,请参阅“自定义自动分类规则以确定 Dependabot 警报的优先级”。

虽然自动消除警报可能很有用,但你仍然可以重新打开自动消除的警报,并进行筛选以查看哪些警报已自动消除。 有关详细信息,请参阅“管理已由 Dependabot 自动分类规则自动消除的警报”。

此外,自动消除的警报仍可用于报告和查看,也可在警报元数据发生更改时重新自动打开,例如:

  • 如果将依赖项的范围从开发更改为生产。
  • 如果 GitHub 修改相关公告的某些元数据。

自动消除的警报由 resolution:auto-dismiss 关闭原因定义。 自动消除活动包含在警报 Webhook、REST 和 GraphQL API 以及审核日志中。 有关详细信息,请参阅 REST API 文档中的“Dependabot alerts”,以及“审查组织的审核日志”中的“repository_vulnerability_alert”部分。

其他阅读材料