Skip to main content

查看和更新 Dependabot 警报

如果 GitHub AE 发现项目中存在不安全的依赖项,你可以在存储库的 Dependabot 警报选项卡中查看详细信息。 然后,你可以更新项目以解决或忽略警报。

Who can use this feature

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

注意:Dependabot 安全和版本更新目前为公共 beta 版本,可能会随时更改。

存储库的 Dependabot alerts 选项卡列出所有打开和关闭的 Dependabot alerts。 你可以 对警报列表进行排序,单击特定警报以获取更多详细信息。 你还可以消除或重新打开警报。 有关详细信息,请参阅“关于 Dependabot alerts”。

查看 Dependabot alerts

  1. 在 your enterprise 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。 “安全”选项卡 1. 在安全侧边栏中,单击“Dependabot alerts”。 如果缺少此选项,则表示你无权访问安全警报,需要被授予访问权限。 有关详细信息,请参阅“管理存储库的安全性和分析设置”。Dependabot alerts tab
  2. 单击您想要查看的警报。 在警报列表中选择的警报

查看和修复警报

请务必确保所有依赖项都没有任何安全弱点。 当 Dependabot 在依赖项中发现漏洞时,应评估项目的暴露级别并确定保护应用程序的修正步骤。

如果依赖项的修补版本可用,则可以生成 Dependabot 拉取请求,以直接从 Dependabot 警报更新此依赖项。 如果启用了 Dependabot security updates,拉取请求可能会链接到 Dependabot 警报。

如果修补版本不可用,或者无法更新到安全版本,Dependabot 会共享其他信息,以帮助确定后续步骤。 单击查看 Dependabot 警报时,可以看到依赖项的安全公告的完整详细信息,包括受影响的函数。 然后,可以检查代码是否调用受影响的函数。 此信息可以帮助你进一步评估风险级别,并确定解决方法,或者是否能够接受安全咨询所代表的风险。

修复易受攻击的依赖项

  1. 查看警报的详细信息。 有关详细信息,请参阅“查看 Dependabot alerts”(上文)。

  2. 可以使用页面上的信息来确定要升级到哪个版本的依赖项,并创建对清单的拉取请求或将文件锁定到安全版本。

  3. 当您准备好更新依赖项并解决漏洞时,合并拉取请求。

消除 Dependabot alerts

提示:你只能消除打开的警报。

如果你安排大量工作来升级依赖项,或者决定不需要修复警报,则可以消除警报。 消除已评估的警报可以更轻松地在新警报出现时对其进行会审。

  1. 查看警报的详细信息。 有关详细信息,请参阅上面的“查看易受攻击的依赖项”。
  2. 选择“消除”下拉菜单,并单击消除警报的原因。选择通过“消除”下拉菜单消除警报的原因

查看 Dependabot alerts 的审核日志

当组织或企业成员执行与 Dependabot alerts 相关的操作时,你可以在审核日志中查看这些操作。 有关访问日志的详细信息,请参阅“查看组织审核日志”和“访问企业审核日志”。

Dependabot alerts 审核日志中的事件包括详细信息,例如执行操作的人员、操作内容以及操作执行时间。 有关 Dependabot alerts 操作的信息,请参阅“查看组织审核日志”和“审核企业日志事件”中的 repository_vulnerability_alert 类别。