注意:Dependabot 安全和版本更新目前为公共 beta 版本,可能会随时更改。
存储库的 Dependabot alerts 选项卡列出所有打开和关闭的 Dependabot alerts。 你可以 对警报列表进行排序,单击特定警报以获取更多详细信息。 你还可以消除或重新打开警报。 有关详细信息,请参阅“关于 Dependabot alerts”。
查看 Dependabot alerts
- 在 your enterprise 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。
1. 在安全侧边栏中,单击“Dependabot alerts”。 如果缺少此选项,则表示你无权访问安全警报,需要被授予访问权限。 有关详细信息,请参阅“管理存储库的安全性和分析设置”。
- 单击您想要查看的警报。
查看和修复警报
请务必确保所有依赖项都没有任何安全弱点。 当 Dependabot 在依赖项中发现漏洞时,应评估项目的暴露级别并确定保护应用程序的修正步骤。
如果依赖项的修补版本可用,则可以生成 Dependabot 拉取请求,以直接从 Dependabot 警报更新此依赖项。 如果启用了 Dependabot security updates,拉取请求可能会链接到 Dependabot 警报。
如果修补版本不可用,或者无法更新到安全版本,Dependabot 会共享其他信息,以帮助确定后续步骤。 单击查看 Dependabot 警报时,可以看到依赖项的安全公告的完整详细信息,包括受影响的函数。 然后,可以检查代码是否调用受影响的函数。 此信息可以帮助你进一步评估风险级别,并确定解决方法,或者是否能够接受安全咨询所代表的风险。
修复易受攻击的依赖项
-
查看警报的详细信息。 有关详细信息,请参阅“查看 Dependabot alerts”(上文)。
-
可以使用页面上的信息来确定要升级到哪个版本的依赖项,并创建对清单的拉取请求或将文件锁定到安全版本。
-
当您准备好更新依赖项并解决漏洞时,合并拉取请求。
消除 Dependabot alerts
提示:你只能消除打开的警报。
如果你安排大量工作来升级依赖项,或者决定不需要修复警报,则可以消除警报。 消除已评估的警报可以更轻松地在新警报出现时对其进行会审。
- 查看警报的详细信息。 有关详细信息,请参阅上面的“查看易受攻击的依赖项”。
- 选择“消除”下拉菜单,并单击消除警报的原因。
查看 Dependabot alerts 的审核日志
当组织或企业成员执行与 Dependabot alerts 相关的操作时,你可以在审核日志中查看这些操作。 有关访问日志的详细信息,请参阅“查看组织审核日志”和“访问企业审核日志”。
Dependabot alerts 审核日志中的事件包括详细信息,例如执行操作的人员、操作内容以及操作执行时间。 有关 Dependabot alerts 操作的信息,请参阅“查看组织审核日志”和“审核企业日志事件”中的 repository_vulnerability_alert 类别。