关于 Dependabot alerts
Dependabot alerts 告知代码依赖于不安全的包。
当代码依赖于具有安全漏洞的包时,这可能会导致项目或使用它的人遇到一系列问题。 应尽快升级到该包的安全版本。
有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。
不安全依赖项的检测
Dependabot 执行扫描以检测不安全的依赖关系,并在以下情况下发送 Dependabot alerts :
-
新公告数据每小时从 GitHub.com 同步到 你的 GitHub Enterprise Server 实例。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。
注意:只有经过 GitHub 审核的公告才会触发 Dependabot alerts。
-
存储库的依赖项关系图发生更改。 例如,当参与者推送提交以更改所依赖的包或版本时。 有关详细信息,请参阅“关于依赖关系图”。
此外,GitHub 还可以查看在针对存储库默认分支的拉取请求中添加、更新或删除的任何依赖项,并标记任何会降低项目安全性的更改。 这使你可以发现并处理易受攻击的依赖项之前,而不是之后,它们会到达你的代码库。 有关详细信息,请参阅“审查拉取请求中的依赖项更改”。
有关 GitHub Enterprise Server 检测到其中不安全的依赖项的生态系统列表,请参阅“关于依赖关系图”。
注意:保持清单和锁定文件处于最新状态非常重要。 如果依赖关系图不能准确反映你当前的依赖项和版本,则可能错过有关你使用的不安全依赖项的警报。 您还可以收到不再使用的依赖项的警报。
Dependabot alerts 的配置
企业所有者必须对 你的 GitHub Enterprise Server 实例 启用 Dependabot alerts,然后才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。
当 GitHub Enterprise Server 发现易受攻击的依赖项,我们会生成 Dependabot 警报,并将其显示在存储库的“安全性”选项卡上和在存储库的依赖项关系图中。 警报包括项目中受影响文件的链接,以及有关已修复的版本的信息。 GitHub Enterprise Server 还可能根据受影响仓库的管理员的通知首选项向他们通知新的警报。 有关详细信息,请参阅“为 Dependabot 警报配置通知”。
对于已启用 Dependabot security updates的存储库,警报中还包含一个拉取请求链接,用于将清单或锁定文件更新到可解决该漏洞的最低版本。 有关详细信息,请参阅“关于 Dependabot 安全更新”。
注意:GitHub Enterprise Server 的安全功能并不声明捕获所有漏洞。 我们积极维护 GitHub Advisory Database 并生成包含最新信息的警报。 但是,我们无法在保证的时间范围内捕获所有漏洞或告知你已知的漏洞。 这些功能不能替代针对每个依赖项潜在漏洞或任何其他问题的人工评审,建议在必要时咨询安全服务或进行彻底的依赖项评审。
访问 Dependabot alerts
你可以在存储库的依赖项关系图中查看影响特定项目的所有警报。 有关详细信息,请参阅“查看和更新 Dependabot 警报”。
默认情况下,我们会向受影响仓库中具有管理员权限的人员通知有关新的 Dependabot alerts。
若要在存储库上接收有关 Dependabot alerts 的通知,需要监视这些存储库,并订阅以接收“所有活动”通知或配置自定义设置以包括“安全警报”。 有关详细信息,请参阅“配置通知”。 可以选择通知的传递方法,以及通知发送给你的频率。 有关详细信息,请参阅“为 Dependabot 警报配置通知”。
你还可以查看与 GitHub Advisory Database 中的特定公告对应的 Dependabot alerts。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。