Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot

Около пользовательские правила автоматической сортировки

Вы можете создать свои собственные Правила автообработки зависимостей на основе метаданных оповещений. Вы можете выбрать автоматическое отклонение оповещений на неопределённый срок или откладывать оповещения до выхода патча, и указать, для кого Dependabot alertsDependabot открывать pull request. Правила применяются до отправки уведомлений, поэтому создание индивидуальных правил, автоматически отклоняющих оповещения с низким риском, уменьшит будущий шум уведомлений.

Поскольку любые правила, которые вы создаёте, применимы как к будущим, так и к текущим оповещениям, вы также можете управлять Правила автоматической сортировки ими массово.

Администраторы репозиториев могут создавать для пользовательские правила автоматической сортировки своих репозиториев. Для частных или внутренних репозиториев требуется GitHub Code Security.

Владельцы организаций и менеджеры по безопасности могут устанавливать пользовательские правила автоматической сортировки правила на уровне организации, а затем выбирать, будет ли правило применяться или поддерживаться во всех публичных и частных репозиториях организации.

• Принудительное применение. Если правило уровня организации "принудительно", администраторы репозитория не могут изменять, отключать или удалять правило.
• Включено. Если правило уровня организации "включено", администраторы репозитория по-прежнему могут отключить правило для своего репозитория.

Вы можете создать правила для целевых оповещений с помощью следующих метаданных:

• ИДЕНТИФИКАТОР CVE
• CWE
• Область зависимостей (devDependency или runtime)
• Экосистема
• Идентификатор GHSA
• Путь манифеста (только для правил уровня репозитория)
• Имя пакета
• Доступность исправлений
• Severity
• Оценка EPSS

Понимание того, как пользовательские правила автоматической сортировки и Dependabot security updates как взаимодействовать

Вы можете использовать пользовательские правила автоматической сортировки это для настройки, для Dependabot alerts которых хотите Dependabot открывать pull request. Однако, чтобы правило «открыть pull request» вступило в силу, необходимо убедиться, что Dependabot security updates они отключены для репозитория (или репозиториев), к которым должно применяться это правило.

Когда Dependabot security updates репозиторий включены, Dependabot я автоматически пытаюсь открыть pull request, чтобы устранить все открытые Dependabot оповещения с доступным патчем. Если вы предпочитаете настраивать это поведение с помощью правила, вы должны оставить Dependabot security updates отключённость.

Для получения дополнительной информации об включении или отключении Dependabot security updates репозитория см. Настройка обновлений для системы безопасности Dependabot.

Пополнение пользовательские правила автоматической сортировки вашего репозитория

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

4. В разделе "Dependabot", справа от "Dependabot rules", нажмите .

5. Нажмите кнопку Создать правило.

6. В разделе "Имя правила" описано, что будет делать это правило.

7. В разделе "Состояние" используйте раскрывающееся меню, чтобы выбрать, следует ли включить или отключить правило для репозитория.

8. В разделе "Целевые оповещения" выберите метаданные, которые необходимо использовать для фильтрации оповещений.

9. В разделе "Правила" выберите действие, которое вы хотите принять для оповещений, которые соответствуют метаданным:

   • Выберите "Закрыть оповещения" , чтобы автоматически закрыть оповещения, соответствующие метаданным. Вы можете отключить оповещения на неопределенный срок или до тех пор, пока не будет доступно исправление.

   • Выберите « Открыть pull request, чтобы разрешить это оповещение », если вы хотите Dependabot предложить изменения для устранения оповещений, соответствующих целевым метаданным. Обратите внимание, что эта опция недоступна, если вы уже выбрали опцию отклонения оповещений на неопределённый срок или если Dependabot security updates она включена в настройках репозитория.

     Примечание.

     Dependabot открывает только pull-запросы для разрешения Dependabot alerts, а не Dependabot malware alerts.

10. Нажмите кнопку "Создать правило".

Дополнение пользовательские правила автоматической сортировки вашей организации

Вы можете добавить пользовательские правила автоматической сортировки для всех соответствующих репозиториев в вашей организации. Дополнительные сведения см. в разделе Настройка глобальных параметров безопасности для организации.

Редактирование или удаление пользовательские правила автоматической сортировки для вашего репозитория

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

4. В разделе "Dependabot", справа от "Dependabot rules", нажмите .

5. В разделе «Правила репозитория», справа от правила, которое вы хотите отредактировать или удалить, нажмите .

6. Чтобы изменить правило, внесите изменения в применимые поля и нажмите кнопку "Сохранить правило".

7. Чтобы удалить правило, в разделе "Зона опасности" нажмите кнопку "Удалить правило".

8. В разделе "Вы уверены, что хотите удалить это правило?" диалоговое окно, просмотрите сведения и нажмите кнопку "Удалить правило".

Редактирование или удаление пользовательские правила автоматической сортировки для вашей организации

Вы можете редактировать или удалить пользовательские правила автоматической сортировки все подходящие репозитории в вашей организации. Дополнительные сведения см. в разделе Настройка глобальных параметров безопасности для организации.