Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen

Sie können Ihr eigenes Regeln für die automatische Triage erstellen, um zu steuern, welche Warnungen ignoriert oder verschoben werden, und für welche Warnungen Sie Pull Requests öffnen möchten Dependabot.

Wer kann dieses Feature verwenden?

  • Organisationsbesitzer
  • Sicherheitsmanager
  • Benutzende mit Administratorzugriff (können Regeln für die automatische Triage für das Repository aktivieren, deaktivieren und anzeigen sowie Benutzerdefinierte Regeln für die automatische Triage erstellen)

GitHub-Voreinstellungen sind für alle Repositorytypen verfügbar.

Benutzerdefinierte Regeln für die automatische Triage sind für die folgenden Repositorytypen verfügbar:

In diesem Artikel

Informationen zum Benutzerdefinierte Regeln für die automatische Triage

Sie können basierend auf Warnungsmetadaten eigene Dependabot auto-triage rules erstellen. Sie können Warnungen auf unbestimmte Zeit automatisch schließen oder sie schlummern lassen, bis ein Patch verfügbar ist, und Sie können angeben, für welche Dependabot alerts Sie Pull-Requests öffnen möchten Dependabot. Regeln werden angewendet, bevor Warnungsbenachrichtigungen gesendet werden. Das Erstellen von benutzerdefinierten Regeln, mit denen Warnungen mit geringem Risiko automatisch geschlossen werden, verringern zukünftige Benachrichtigungsgeräusche.

Da alle von Ihnen erstellten Regeln sowohl für zukünftige als auch für aktuelle Warnungen gelten, können Sie auch Regeln für die automatische Triage verwenden, um Ihre warnungen massenweise zu verwalten.

Repository-Administratoren können Benutzerdefinierte Regeln für die automatische Triage für ihre Repositories erstellen. Dies erfordert GitHub Advanced Security.

Organisationsbesitzer und Sicherheitsmanager können Benutzerdefinierte Regeln für die automatische Triage auf Organisationsebene festlegen und dann auswählen, ob eine Regel in allen öffentlichen und privaten Repositorys der Organisation erzwungen oder aktiviert wird.

  • Durchgesetzt: Wenn eine Regel auf Organisationsebene „durchgesetzt“ wird, können Repositoryadministratoren die Regel nicht bearbeiten, deaktivieren oder löschen.
  • Aktiviert: Wenn eine Regel auf Organisationsebene „aktiviert“ ist, können Repositoryadministratoren die Regel für ihr Repository dennoch deaktivieren.

Hinweis

Wenn eine Regel auf Organisationsebene und eine Regel auf Repositoryebene widersprüchliche Verhaltensweisen vorgeben, hat die von der Regel auf Organisationsebene festgelegte Aktion Vorrang. Entlassungsregeln handeln immer vor Regeln, die Pullanforderungen auslösen Dependabot .

Mithilfe der folgenden Metadaten können Sie Regeln erstellen, um Warnungen als Ziel zu verwenden:

  • CVE-ID
  • CWE
  • Abhängigkeitsbereich (devDependency oder runtime)
  • Ökosystem
  • GHSA-ID
  • Manifestpfad (nur für Regeln auf Repositoryebene)
  • Paketname
  • Patch-Verfügbarkeit
  • Schweregrad
  • EPSS-Punktzahl

Wie Benutzerdefinierte Regeln für die automatische Triage und Dependabot security updates zusammenwirken

Sie können Benutzerdefinierte Regeln für die automatische Triage verwenden, um anzupassen, für welche Dependabot alerts Sie Dependabot Pull-Requests öffnen möchten. Damit jedoch eine Regel zum "Öffnen eines Pull-Requests" wirksam wird, müssen Sie sicherstellen, dass Dependabot security updates für das Repository (oder die Repositories), auf das die Regel angewendet werden soll, deaktiviert sind.

Wenn Dependabot security updates für ein Repository aktiviert sind, wird Dependabot automatisch versuchen, Pullanforderungen zu öffnen, um jede offene Dependabot Warnung zu beheben, für die ein verfügbarer Patch vorliegt. Wenn Sie dieses Verhalten lieber mithilfe einer Regel anpassen möchten, müssen Sie deaktiviert lassen Dependabot security updates .

Weitere Informationen zum Aktivieren oder Deaktivieren Dependabot security updates eines Repositorys finden Sie unter Konfigurieren von Dependabot-Sicherheitsupdates.

Hinzufügen Benutzerdefinierte Regeln für die automatische Triage zu Ihrem Repository

Hinweis

Während der öffentliche VorschauZeit können Sie bis zu 10 Benutzerdefinierte Regeln für die automatische Triage für ein Repository erstellen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Code security.

  4. Klicke im Abschnitt „Dependabot“, rechts neben „Dependabot rules“ auf .

  5. Klicke auf New rule (Neue Regel).

  6. Beschreiben Sie unter „Regelname“, was diese Regel tun soll.

  7. Unter „Status“ können Sie über das Dropdownmenü auswählen, ob die Regel für das Repository aktiviert oder deaktiviert werden soll.

  8. Wählen Sie unter „Zielwarnungen" die Metadaten aus, die Sie zum Filtern von Warnungen verwenden möchten.

  9. Wählen Sie unter „Regeln“ die Aktion aus, die Sie für Warnungen ausführen möchten, die den Metadaten entsprechen:

    • Wählen Sie Warnungen schließen aus, damit Warnungen, die den Metadaten entsprechen, automatisch geschlossen werden. Sie können Warnungen auf unbestimmte Zeit ignorieren oder bis ein Patch verfügbar ist.
    • Wählen Sie "Pullanforderung öffnen" aus, um diese Warnung zu beheben , wenn Sie Änderungen zum Auflösen von Warnungen vorschlagen möchten Dependabot , die den zielbezogenen Metadaten entsprechen. Beachten Sie, dass diese Option nicht verfügbar ist, wenn Sie bereits die Option zum Verwerfen von Warnungen auf unbestimmte Zeit ausgewählt haben oder wenn Dependabot security updates sie in Den Repositoryeinstellungen aktiviert sind.

  10. Klicken Sie auf Regel erstellen.

Hinzufügen Benutzerdefinierte Regeln für die automatische Triage zu Ihrer Organisation

Sie können Benutzerdefinierte Regeln für die automatische Triage für alle qualifizierten Repositorys in Ihrer Organisation hinzufügen. Weitere Informationen finden Sie unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.

Bearbeiten oder Löschen von Benutzerdefinierte Regeln für die automatische Triage in Ihrem Repository

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Code security.

  4. Klicke im Abschnitt „Dependabot“, rechts neben „Dependabot rules“ auf .

  5. Klicken Sie unter "Repositoryregeln" rechts neben der Regel, die Sie bearbeiten oder löschen möchten, auf .

  6. Um die Regel zu bearbeiten, nehmen Sie alle Änderungen an den entsprechenden Feldern vor, und klicken Sie dann auf Regel speichern.

  7. Um die Regel zu löschen, klicken Sie unter „Gefahrenzone“ auf Regel löschen.

  8. Im Dialogfeld „Möchten Sie diese Regel wirklich löschen?“ überprüfen Sie die Informationen und klicken Sie dann auf Regel löschen.

Bearbeiten oder Löschen von Benutzerdefinierte Regeln für die automatische Triage für Ihre Organisation

Sie können alle berechtigten Repositorys in Ihrer Organisation bearbeiten oder löschen Benutzerdefinierte Regeln für die automatische Triage . Weitere Informationen finden Sie unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.