Программное обеспечение часто опирается на пакеты из различных источников, создавая зависимости, которые могут неосознанно привести к уязвимостям безопасности. Когда ваш код зависит от пакетов с известными уязвимостями, вы становитесь мишенью для злоумышленников, стремящихся использовать вашу систему — потенциально получая доступ к вашему коду, данным, клиентам или участникам. Dependabot alerts Уведомлять вас о уязвимых зависимостях, чтобы вы могли обновиться до защищённых версий и защитить свой проект.
Когда Dependabot отправляет оповещения
Dependabot сканирует стандартную ветку вашего репозитория и отправляет оповещения, когда:
- Добавляется новая уязвимость в GitHub Advisory Database
- Ваш граф зависимостей меняется — например, когда вы запускаете коммиты, обновляющие пакеты или версии
Для поддерживаемых экосистем см. AUTOTITLE.
Понимание оповещений
При GitHub обнаружении уязвимой зависимости на вкладке репозитория и графике зависимостей появляется Dependabot** Security and quality** предупреждение. Каждое предупреждение включает:
- Ссылка на затронутый файл
- Подробности о уязвимости и её серьёзности
- Информация о фиксированной версии (когда доступна)
Для получения информации о просмотре и управлении уведомлениями см. Просмотр и обновление оповещений Dependabot.
Кто может включить оповещения?
Администраторы репозиториев и владельцы организаций могут включать Dependabot alerts свои репозитории и организации. При включении GitHub сразу создаётся граф зависимостей и оповещения о любых уязвимых зависимостях, которые он идентифицирует. Администраторы репозиториев могут предоставлять доступ дополнительным пользователям или командам.
Предупреждение о собственности и передаче
Пользователи с доступом к записи и выше могут назначать Dependabot alerts сотрудникам репозитория, командам или агентам ИИ для установления чёткого права собственности на устранение уязвимостей. Задания помогают отслеживать, кто отвечает за каждое оповещение, и предотвратять упущение уязвимостей.
Вы можете назначать оповещения следующим типам агентов:
Copilot
**, GitHubвстроенный агент ИИ.
- Сторонние агенты, такие как Codex или Claude, при включении в настройках репозитория.
Когда оповещение назначается человеку или команде, получатель получает уведомление, и оно отображает его имя в списке оповещений. Вы можете фильтровать оповещения по назначению, чтобы отслеживать прогресс.
Когда агенту назначается оповещение, агент автоматически создаёт сессию и открывает черновик pull request с предложенным исправлением. Если агент не может сгенерировать исправление, он остаётся присваивателем, и вы можете нажать «Просмотр сессии » на таймлайне оповещений, чтобы просмотреть журнал агента.
Примечание.
Видимость назначения в настоящее время ограничена на вид оповещений на уровне репозитория. Общеорганизационный обзор безопасности не отображает назначения оповещений.
Когда меняются назначенцы оповещения, GitHub отправляется assignees_changed событие webhook. Это событие можно использовать для запуска рабочих процессов или синхронизации данных назначений с внешними системами. Дополнительные сведения см. в разделе События и полезные данные веб-перехватчика.
Автоматизация и интеграции
Вы можете программно управлять назначением оповещений с помощью REST API. Дополнительные сведения см. в разделе Конечные точки REST API для Dependabot alerts.
Для получения информации о назначении оповещений см. Просмотр и обновление оповещений Dependabot.
Как работают уведомления о предупреждениях
По умолчанию GitHub отправляет уведомления о новых уведомлениях по электронной почте тем, кто одновременно:
- Имейте права на запись, поддержание или администраторские права на репозиторий
- Следим за репозиторием и включил уведомления о безопасности или о всей активности в репозитории
Вы можете отменить стандартное поведение, выбрав тип уведомлений для получения или полностью отключив уведомления на странице настроек для уведомлений пользователей по адресу https://github.com/settings/notifications.
Независимо от ваших настроек уведомлений, при Dependabot первом включении GitHub уведомления не отправляются по всем уязвимым зависимостям в вашем репозитории. Вместо этого вы будете получать уведомления о новых уязвимых зависимостях, выявленных после Dependabot включения, если ваши настройки уведомления это позволяют.
Если вас беспокоит слишком много уведомлений, мы рекомендуем использовать Правила автообработки зависимостей их для автоматического отклонения оповещений с низким риском. Правила применяются перед отправкой уведомлений оповещений, поэтому оповещения, которые автоматически закрываются при создании, не отправляют уведомления. См . раздел AUTOTITLE.
В качестве альтернативы вы можете включить еженедельный дайджест электронной почты или даже полностью отключить уведомления, оставив Dependabot alerts их включёнными.
Ограничения
Dependabot alerts Есть некоторые ограничения:
-
Оповещения не могут обнаружить все проблемы с безопасностью. Всегда проверяйте свои зависимости и держите манифест и файлы блокировки актуальными для точного обнаружения.
-
Новые уязвимости могут потребовать времени, чтобы появиться в GitHub Advisory Database системе и вызвать оповещения.
-
Только предупреждения, которые проверяются триггерными GitHub оповещениями.
-
Dependabot не сканирует архивные репозитории.
-
Для GitHub Actions оповещения генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA.
GitHub Никогда публично не раскрывает уязвимости для любого репозитория.
интеграция Чат GitHub Copilot
Имея GitHub Copilot Enterprise лицензию, вы можете задавать Копилот Чат вопросы Dependabot alerts в репозиториях вашей организации. Дополнительные сведения см. в разделе Вопросы GitHub Copilot на GitHub.