Сведения об оповещениях Dependabot

Dependabot alerts поможет вам найти и исправить уязвимые зависимости до того, как они станут угрозой безопасности.

Кто может использовать эту функцию?

Dependabot alerts доступны для репозиториев, принадлежащих организациям, и пользователям.

В этой статье

Программное обеспечение часто опирается на пакеты из различных источников, создавая зависимости, которые могут неосознанно привести к уязвимостям безопасности. Когда ваш код зависит от пакетов с известными уязвимостями, вы становитесь мишенью для злоумышленников, стремящихся использовать вашу систему — потенциально получая доступ к вашему коду, данным, клиентам или участникам. Dependabot alerts уведомляет вас о уязвимых зависимостях, чтобы вы могли обновиться до защищённых версий и защитить свой проект.

Когда Dependabot отправляет оповещения

Dependabot сканирует ветку вашего репозитория по умолчанию и отправляет оповещения, когда:

  • Новая уязвимость добавляется в GitHub Advisory Database
  • Ваш граф зависимостей меняется — например, когда вы запускаете коммиты, обновляющие пакеты или версии

Для поддерживаемых экосистем см. AUTOTITLE.

Понимание оповещений

Когда GitHub обнаруживает уязвимую зависимость, на вкладке Security и графике зависимостей репозитория появляется предупреждение Dependabot. Каждое предупреждение включает:

  • Ссылка на затронутый файл
  • Подробности о уязвимости и её серьёзности
  • Информация о фиксированной версии (когда доступна)

Для получения информации о просмотре и управлении уведомлениями см. АВТОЗАГОЛОВОК.

Включение оповещений

Администраторы репозиториев и владельцы организаций могут включать Dependabot alerts для своих репозиториев и организаций. При включении GitHub немедленно генерирует граф зависимостей и создаёт оповещения о любых уязвимых зависимостях, которые он идентифицирует. Администраторы репозиториев могут предоставлять доступ дополнительным пользователям или командам.

См . раздел AUTOTITLE.

Уведомления о предупреждениях

По умолчанию GitHub отправляет уведомления о новых уведомлениях по электронной почте людям, которые одновременно:

  • Имейте права на запись, поддержание или администраторские права на репозиторий
  • Следим за репозиторием и включил уведомления о безопасности или о всей активности в репозитории

Вы можете отменить стандартное поведение, выбрав тип уведомлений для получения или полностью отключив уведомления на странице настроек для уведомлений пользователей по адресу https://github.com/settings/notifications.

Независимо от настроек уведомлений, когда Dependabot впервые включен, GitHub не отправляет уведомления для всех уязвимых зависимостей, найденных в репозитории. Вместо этого вы получите уведомления о новых уязвимых зависимостях, определенных после включения Dependabot, если это разрешено.

Если вас беспокоит слишком много уведомлений, мы рекомендуем использовать Правила автообработки зависимостей для автоматического отклонения низкорисковых оповещений. Правила применяются перед отправкой уведомлений оповещений, поэтому оповещения, которые автоматически закрываются при создании, не отправляют уведомления. См . раздел AUTOTITLE.

Кроме того, вы можете выбрать еженедельный дайджест электронной почты или даже полностью отключить уведомления, сохраняя Dependabot alerts включено.

Ограничения

Dependabot alerts имеют некоторые ограничения:

  • Оповещения не могут обнаружить все проблемы с безопасностью. Всегда проверяйте свои зависимости и держите манифест и файлы блокировки актуальными для точного обнаружения.
  • Новые уязвимости могут потребовать времени, чтобы появиться в GitHub Advisory Database и вызвать оповещения.
  • Только уведомления, проверенные GitHub, запускают оповещения.
  • Dependabot не сканирует архивные репозитории.
  • Dependabot не генерирует оповещения о вредоносном ПО.
  • Для GitHub Actions, Dependabot alerts генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA.

GitHub никогда публично не раскрывает уязвимости для любого репозитория.

Спрашивать GitHub Copilot Чат о оповещениях

С лицензией GitHub Copilot Энтерпрайз вы можете задавать Копилот Чатвопросы о Dependabot alerts в репозиториях вашей организации. Дополнительные сведения см. в разделе Вопросы по GitHub Copilot в GitHub.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)