关于针对易受攻击依赖项的 Dependabot alerts
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。
当新的公告添加到 GitHub Advisory Database 或存储库的依赖项关系图发生更改时,Dependabot 会扫描代码。 当检测到易受攻击的依赖项时,会生成 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。
如果已启用存储库的 Dependabot security updates,警报中还会包含一个拉取请求链接,用于将清单或锁定文件更新到可解决该漏洞的最低版本。 有关详细信息,请参阅“关于 Dependabot 安全更新”。
可以为以下项启用或禁用 Dependabot alerts:
- 你的个人帐户
- 你的存储库
- 你的组织
为个人帐户管理 Dependabot alerts
存储库的 Dependabot alerts 可由企业所有者启用或禁用。 有关详细信息,请参阅“为企业启用 Dependabot”。
为存储库管理 Dependabot alerts
默认情况下,我们会向受影响存储库中具有管理员权限的人员发出有关新 Dependabot alerts 的通知。 GitHub Enterprise Server 从不公开披露任何存储库的不安全依赖项。 你也可以将 Dependabot alerts 设为对操作你拥有的或具有管理员权限的存储库的其他人或团队可见。
存储库的 Dependabot alerts 可由企业所有者启用或禁用。 有关详细信息,请参阅“为企业启用 Dependabot”。
为组织管理 Dependabot alerts
组织的 Dependabot alerts 可由企业所有者启用或禁用。 有关详细信息,请参阅“为企业启用 Dependabot”。