关于 Dependabot alerts
Dependabot alerts 告知代码依赖于不安全的包。
当代码依赖于具有安全漏洞的包时,这可能会导致项目或使用它的人遇到一系列问题。 应尽快升级到该包的安全版本。
不安全依赖项的检测
注意:Dependabot alerts 目前为 beta 版本,可能会随时更改。
为检测不安全的依赖项,Dependabot 会对存储库的默认分支执行扫描,并在以下情况下发送 Dependabot alerts:
-
新公告数据每小时从 GitHub.com 同步到 你的企业。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。
注意:只有经过 GitHub 审核的公告才会触发 Dependabot alerts。
-
存储库的依赖项关系图发生更改。 例如,当参与者推送提交以更改所依赖的包或版本时。 有关详细信息,请参阅“关于依赖关系图”。
注意:Dependabot 不会扫描存档的存储库。
此外,GitHub 还可以查看在针对存储库默认分支的拉取请求中添加、更新或删除的任何依赖项,并标记任何会降低项目安全性的更改。 这使你可以发现并处理易受攻击的依赖项之前,而不是之后,它们会到达你的代码库。 有关详细信息,请参阅“审查拉取请求中的依赖项更改”。
由于 Dependabot alerts 依赖于依赖项关系图,因此 Dependabot alerts 支持的生态系统与依赖项关系图支持的生态系统相同。 有关这些生态系统的列表,请参阅“关于依赖关系图”。
注意:保持清单和锁定文件处于最新状态非常重要。 如果依赖关系图不能准确反映你当前的依赖项和版本,则可能错过有关你使用的不安全依赖项的警报。 您还可以收到不再使用的依赖项的警报。
Dependabot 只会为使用语义版本控制的易受攻击的 GitHub Actions 创建 Dependabot alerts。 你将不会收到有关使用 SHA 版本控制的易受攻击操作的警报。 如果将 GitHub Actions 与 SHA 版本控制配合使用,建议为存储库或组织启用 Dependabot version updates 以保留更新到最新版本的操作。
Dependabot alerts 的配置
企业所有者必须对 你的企业 启用 Dependabot alerts,然后才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。
当 GitHub AE 发现易受攻击的依赖项,我们会生成 Dependabot 警报,并将其显示在存储库的依赖项关系图中。 警报包括项目中受影响文件的有关已修复的版本的信息。
GitHub AE 会根据通知首选项将新警报通知给受影响存储库的维护者。有关详细信息,请参阅“为 Dependabot 警报配置通知”。
注意:GitHub AE 的安全功能并不声明捕获所有漏洞。 我们积极维护 GitHub Advisory Database 并生成包含最新信息的警报。 但是,我们无法在保证的时间范围内捕获所有漏洞或告知你已知的漏洞。 这些功能不能替代针对每个依赖项潜在漏洞或任何其他问题的人工评审,建议在必要时咨询安全服务或进行彻底的依赖项评审。
访问 Dependabot alerts
你可以在存储库的依赖项关系图中查看影响特定项目的所有警报。 有关详细信息,请参阅“查看和更新 Dependabot 警报”。
默认情况下,我们会向受影响存储库中具有管理员权限的人员发出有关新 Dependabot alerts 的通知。
可以选择通知的传递方法,以及通知发送给你的频率。 有关详细信息,请参阅“为 Dependabot 警报配置通知”。
你还可以查看与 GitHub Advisory Database 中的特定公告对应的 Dependabot alerts。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。
- “审核安全警报”