Сведения о Dependabot security updates
Dependabot security updates упрощает исправление уязвимых зависимостей в репозитории.
Если включить Dependabot security updates, при возникновении оповещения Dependabot для уязвимой зависимости в граф зависимостей репозитория автоматически пытается исправить Dependabot. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).
Вы можете добавить dependabot.yml конфигурационный файл в репозиторий, чтобы настроить поведение Dependabot, включая графики обновлений, настройки pull request и зависимости для мониторинга. Дополнительные сведения см. в разделе О файле dependabot.yml. Затем вы настраиваете параметры в этом файле, чтобы указывать Dependabot, как защитить зависимости, на которые зависит ваш репозиторий.
Сведения о поддерживаемых репозиториях и экосистемах см. в разделе Поддерживаемые экосистемы и репозитории Dependabot.
Примечание.
Между параметрами, указанными в dependabot.yml файле, и оповещениями системы безопасности Dependabot отсутствуют, кроме того, что оповещения будут закрыты при слиянии связанных запросов на вытягивание, созданных Dependabot для обновлений системы безопасности.
Dependabot подписывает свои собственные фиксации по умолчанию, даже если подпись фиксации не является требованием для репозитория. Дополнительные сведения о проверенных фиксациях см. в разделе Сведения о проверке подписи фиксации.
Примечание.
Если для репозитория включены Dependabot security updates, Dependabot автоматически попытается открыть запросы на вытягивание для разрешения всех открытых оповещений Dependabot с доступным исправлением. Если вы предпочитаете настраивать оповещения Dependabot открывает запросы на вытягивание, следует оставить Dependabot security updates отключен и создать правило автообъезда. Дополнительные сведения см. в разделе Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.
GitHub может отправлять Dependabot alerts в репозитории, затронутые уязвимостью, раскрытой недавно опубликованной рекомендацией по безопасности GitHub. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.
Dependabot проверяет возможность обновления уязвимой зависимости до исправленной версии без нарушения графа зависимостей для репозитория. Затем Dependabot создает запрос на вытягивание, чтобы обновить зависимость до минимальной версии, которая включает исправление, и связывает запрос на вытягивание с оповещением Dependabot или сообщает об ошибке в оповещении. Дополнительные сведения см. в разделе Ошибки dependabot.
Функция Dependabot security updates доступна для репозиториев, в которых включен граф зависимостей и Dependabot alerts. Вы увидите оповещение Dependabot для каждой уязвимой зависимости, определенной в полном графе зависимостей. Однако обновления системы безопасности активируются только для зависимостей, указанных в файле манифеста или блокировки. Дополнительные сведения см. в разделе Сведения о графе зависимостей.
Примечание.
Для npm Dependabot вызовет запрос на вытягивание для обновления явно определенной зависимости до безопасной версии, даже если это означает обновление родительской зависимости или зависимостей, или даже удаление подзависимости, которая больше не требуется родительской. Для других экосистем Dependabot не сможет обновить непрямую или транзитивную зависимость, если также требуется обновление родительской. Дополнительные сведения см. в разделе Ошибки dependabot.
Вы можете включить связанную функцию, Dependabot version updates, чтобы Dependabot вызывал запросы на вытягивание для обновления манифеста до последней версии зависимости при обнаружении устаревшей зависимости. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.
Когда Dependabot вызывает запросы на вытягивание, такие запросы могут быть предназначены для обновлений безопасности или версий:
- Dependabot security updates — это автоматизированные запросы на вытягивание, позволяющие обновлять зависимости с известными уязвимостями.
- Dependabot version updates — это автоматизированные запросы на вытягивание, позволяющие поддерживать зависимости в актуальном состоянии, даже если у них нет уязвимостей. Чтобы проверить состояние обновлений версий, перейдите на вкладку "Аналитика " репозитория, а затем выберите Граф зависимостей и Dependabot.
Если включить Dependabot security updates, части конфигурации также могут повлиять на запросы на вытягивание, созданные для Dependabot version updates. Это связано с тем, что некоторые параметры конфигурации являются общими для обоих типов обновлений. Дополнительные сведения см. в разделе Настройка запросов на вытягивание обновлений безопасности Dependabot.
Запросы на вытягивание, открытые Dependabot, могут активировать рабочие процессы, выполняющие действия. Дополнительные сведения см. в разделе Автоматизация Dependabot с помощью GitHub Actions.
Dependabot security updates может исправить уязвимые зависимости в GitHub Actions. При включении обновлений системы безопасности Dependabot автоматически создает запрос на вытягивание для обновления уязвимых данных GitHub Actions, используемых в рабочих процессах до минимальной исправленной версии.
Сведения о сгруппированных обновлениях системы безопасности
Чтобы уменьшить количество отображаемых запросов на вытягивание, можно включить сгруппированные обновления безопасности для группированных наборов зависимостей (на экосистему пакетов). Затем Dependabot создает один запрос на вытягивание для обновления как можно больше уязвимых зависимостей в группе для защиты версий одновременно.
Для обновлений системы безопасности Dependabot будет группировать зависимости только из разных каталогов для каждой экосистемы в определенных условиях и конфигурациях. Dependabot не будет группировать зависимости от разных экосистем пакетов вместе, и она не будет группировать обновления безопасности с обновлениями версий.
Вы можете включить сгруппированные запросы на вытягивание для Dependabot security updates одним или обоими способами.
- Чтобы сгруппировать максимальное количество доступных обновлений безопасности в каталогах и каждой экосистеме, включите группирование в параметрах "Advanced Security" для репозитория, или в разделе "Глобальные параметры" в разделе Advanced Security для вашей организации.
- Для более детального управления группировкой, например группирования по имени пакета, зависимостей разработки и рабочей среды, уровня SemVer или нескольких каталогов для каждой экосистемы, добавьте параметры
dependabot.ymlконфигурации в файл конфигурации в репозитории.
Примечание.
Если вы настроили правила группы для Dependabot security updates в dependabot.yml файле, все доступные обновления будут сгруппированы в соответствии с указанными правилами. Dependabot будет группировать только в этих каталогах, не настроенных в том dependabot.yml случае, если параметр для сгруппированных обновлений безопасности на уровне организации или репозитория также включен.
Дополнительные сведения см. в разделе Настройка обновлений для системы безопасности Dependabot.
Об оценке совместимости
Dependabot security updates могут включать оценки совместимости, которые позволяют узнать, может ли обновление зависимости привести к критическим изменениям в проекте. Они вычисляются на основе тестов непрерывной интеграции (CI) в других общедоступных репозиториях, где было создано такое же обновление для системы безопасности. Оценка совместимости обновления — это процент успешно выполненных тестов CI при обновлении конкретных версии зависимости.
О автоматической деактивации Dependabot updates
Когда поддержка репозитория перестает взаимодействовать с запросами на вытягивание Dependabot, Dependabot временно приостанавливает обновления и позволяет узнать, см . раздел AUTOTITLE.
Сведения об уведомлениях для обновлений системы безопасности Dependabot
Вы можете отфильтровать уведомления по GitHub для отображения обновлений системы безопасности Dependabot. Дополнительные сведения см. в разделе Управление уведомлениями из папки "Входящие".