Enabling delegated alert dismissal for Dependabot

Increase your governance over your Dependabot alerts with delegated alert dismissal.

Wer kann dieses Feature verwenden?

Organisationsbesitzende, Sicherheitsmanagende und Repositoryadmins können das delegierte Schließen von Warnungen aktivieren. Nach der Aktivierung können Organisationsbesitzende und Sicherheitsmanagende Warnungen schließen.

In diesem Artikel

About enabling delegated alert dismissal

Mit dem delegierten Schließen von Warnungen kannst du einschränken, welche Benutzenden eine Warnung direkt schließen können. Wenn dieses Feature aktiviert ist, erstellen Benutzende beim Versuch, eine Warnung zu schließen, stattdessen eine Anforderung zum Schließen.

Durch Aktivieren des Features erhalten Organisationsbesitzende sowie Benutzende im Sicherheitsmanagement automatisch die Berechtigung, Schließanforderungen für Warnungen zu genehmigen oder abzulehnen. Diese Berechtigung lautet:

  • Berechtigung „Review and manage code scanning alert dismissal requests“ für code scanning.

  • Berechtigung „Review and manage secret scanning alert dismissal requests“ für secret scanning. Diese Berechtigung kann auch auf benutzerdefinierte Rollen angewendet werden.

Weitere Informationen zu diesen Berechtigungen findest du unter Rollen in einer Organisation.

Weitere Informationen zur Rolle des Sicherheitsmanagers findest du unter Verwalten von Sicherheitsmanagern in deiner Organisation.

Hinweis

Die Implementierung dieses Genehmigungsprozesses verläuft unter Umständen nicht reibungslos. Daher ist es wichtig, zunächst sicherzustellen, dass das Sicherheitsmanagementteam ausreichend Kompetenzen hat.

Prüfende (Sicherheitsmanagement und Organisationsbesitz):

  • erhalten eine E-Mail-Benachrichtigung zu Anforderungen. Diese Benutzenden müssen sicherstellen, dass sie diese Listen regelmäßig überprüfen können, damit kein Backlog entsteht und der Prozess reibungslos funktioniert.
  • können Anforderungen in einer dedizierten Ansicht auf der Registerkarte „Security“ der Organisation bearbeiten. Eine Warnung wird nur geschlossen, wenn die Anforderung zum Schließen genehmigt wird. Andernfalls bleibt die Warnung geöffnet.

Antragstellende erhalten eine E-Mail-Benachrichtigung mit der Entscheidung, ob die Warnung geschlossen werden kann oder nicht.

Configuring delegated dismissal for a repository

Hinweis

If an organization owner configures delegated alert dismissal via an enforced security configuration, the settings can't be changed at the repository level.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. In the "Dependabot" section, next to "Prevent direct alert dismissals", click Enable.

Configuring delegated dismissal for an organization

You must configure delegated dismissal for your organization using a custom security configuration. You can then apply the security configuration to all (or selected) repositories in your organization.

  1. Start creating or editing a custom security configuration. See Erstellen einer benutzerdefinierten Sicherheitskonfiguration.
  2. In the "Dependency scanning" section of your security configuration, set "Prevent direct alert dismissals" to Enabled.
  3. Click Save configuration.
  4. Apply the security configuration to repositories in your organization. See Anwenden einer benutzerdefinierten Sicherheitskonfiguration.

Configuring delegated dismissal for an enterprise

You must configure delegated dismissal for your enterprise using a custom security configuration. You can then apply the security configuration to all (or selected) repositories in your enterprise.

  1. Start creating or editing a custom security configuration. See Erstellen einer benutzerdefinierten Sicherheitskonfiguration für dein Unternehmen.
  2. In the "Dependency scanning" section of your security configuration, set "Prevent direct alert dismissals" to Enabled.
  3. Click Save configuration.
  4. Apply the security configuration to repositories in your enterprise. See Anwenden einer benutzerdefinierten Sicherheitskonfiguration auf dein Unternehmen.

Next steps

Now that you have enabled delegated alert dismissal for Dependabot, you should regularly review alert dismissal requests to maintain an accurate alert count and unblock your developers. See Reviewing alert dismissal requests.