Управление безопасностью зависимости

Вы можете создать собственные данные Правила автоматической сортировки для управления закрытием или сносом оповещений и оповещений, для которых требуется Dependabot для открытия запросов на вытягивание.

Вы можете использовать Предустановки GitHub, которые являются правилами, которые курируются GitHub, для автоматического закрытия оповещений о низком влиянии разработки для зависимостей npm.

Узнайте, как настроить запросы на вытягивание Dependabot для обновлений системы безопасности, чтобы соответствовать приоритетам безопасности и рабочим процессам проекта.

Узнайте, как настроить dependabot.yml файл таким образом, чтобы Dependabot автоматически обновляет указанные пакеты.

Чтобы поймать уязвимости перед добавлением в проект, можно использовать переменные данных Действие проверки зависимостей.

Включив метаданные в pom.xml файл, вы можете улучшить информацию, доступную пользователям в запросах на вытягивание Dependabot, чтобы обновить пакеты Java.

Оптимизируйте получение уведомлений о Dependabot alerts.

Можно настроить Dependabot для доступа к зависимостям, хранящимся в частных реестрах. Вы можете хранить такие сведения проверки подлинности, как пароли и маркеры доступа, как зашифрованные секреты, а затем ссылаться на них в файле конфигурации Dependabot. Если у вас есть реестры в частных сетях, вы также можете настроить доступ Dependabot при выполнении Dependabot на локальных запусках.

Примеры настройки Dependabot для доступа только к частным реестрам путем удаления вызовов общедоступных реестров.

Управлять запросами на вытягивание, созданными с помощью Dependabot, можно практически так же, как и другими запросами на вытягивание, но существуют дополнительные параметры.

Включите Dependabot на GitHub-размещённых раннерах для более простого выявления ошибок Dependabot и ручного обнаружения и устранения неудачных запусков.

Вы можете настроить локальные средства выполнения, которые Dependabot используются для доступа к частным реестрам и внутренним сетевым ресурсам.

Устраняйте ошибки при запуске и вручную обновляйте зависимости, повторно запуская задачи Dependabot.

Вы можете просмотреть зависимости, которые Dependabot отслеживает на предмет наличия обновлений.

В этой статье содержатся подробные сведения о настройке частных реестров, а также команды, которые можно выполнить из командной строки, чтобы настроить диспетчеры пакетов локально.