Примечание.
Администратор сайта должен настроить Dependabot updates для ваш экземпляр GitHub Enterprise Server, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.
Возможно, вы не сможете включить или отключить Dependabot updates , если владелец предприятия установил политику на уровне предприятия. Дополнительные сведения см. в разделе Применение политик безопасности кода и анализа для вашего предприятия.
Вкладка Dependabot вашего репозитория содержит список всех открытых и закрытых Dependabot alerts и соответствующих Dependabot security updates. Оповещения можно фильтровать по пакетам, экосистеме или манифесту. Вы можете отсортировать список оповещений и щелкнуть их в конкретных оповещениях для получения дополнительных сведений. Вы также можете закрыть или повторно открыть оповещения, один за один или один раз, выбрав несколько оповещений одновременно. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
Сведения об обновлениях для уязвимых зависимостей в репозитории
Каждое Dependabot оповещение имеет уникальный числовой идентификатор, а вкладка Dependabot содержит предупреждение о каждой обнаруженной уязвимости. Устаревшая Dependabot alerts система группировала уязвимости по зависимости и генерировала одно предупреждение на каждую зависимость. Если вы перейдёте к старому Dependabot оповещению, вас перенаправляют на Dependabot вкладку, отфильтрованную для этого пакета.
Вы можете фильтровать и сортировать Dependabot alerts с помощью различных фильтров и опций сортировки, доступных в пользовательском интерфейсе. Для получения дополнительной информации см. раздел «Просмотр и распределение Dependabot alertsприоритетов» ниже.
Вы также можете проверять действия, предпринятые в ответ на Dependabot оповещения. Дополнительные сведения см. в разделе Аудит оповещений системы безопасности.
Просмотр и расстановка приоритетов Dependabot alerts
Вы можете просматривать, сортировать и фильтровать Dependabot alerts , чтобы сосредоточиться на наиболее важных оповещениях.
По умолчанию оповещения сортируются по принципу «Самые важные», что помогает расставить приоритеты на основе таких факторов, как потенциальное влияние, применимость и релевантность. Это приоритизация постоянно улучшается и учитывает такие сигналы, как оценка CVSS, область зависимостей и обнаружение уязвимых вызовов функций.
Вы можете просматривать все открытые, закрытые Dependabot alerts и соответствующие Dependabot security updates данные во вкладке Dependabot вашего репозитория.
-
На GitHubперейдите на главную страницу репозитория.
-
Под названием репозитория нажмите на Security вкладку. Если вы не видите вкладку « Security» — выберите выпадающее меню и нажмите Security.
-
В боковой панели «Оповещения о уязвимости» обзора безопасности нажмите Dependabot. Если этот параметр отсутствует, это означает, что у вас нет доступа к оповещениям системы безопасности. Вам необходимо получить права доступа. Для получения дополнительной информации см. Управление параметрами безопасности и анализа для репозитория.
 -
По желанию, уточните список оповещений:
-
Используйте выпадающие меню в верхней части списка, чтобы сортировать или фильтровать оповещения.
-
Введите напрямую в строку поиска, чтобы отфильтровать оповещения, включая полнотекстовый поиск по деталям оповещений и соответствующим рекомендациям по безопасности.
-
Нажмите на метку на уведомлении, чтобы автоматически отфильтровать список по этой метке.
-
Чтобы выявить оповещения, влияющие на зависимости разработки, отфильтруйте по
scope:developmentфильтру или ищите оповещения с пометкой «Разработка». Это поможет вам в первую очередь расставить приоритеты оповещений, влияющих на зависимости от производства.
-
-
Нажмите на уведомление, чтобы увидеть детали. Оповещения о зависимостях с разработкой включают метку «Разработка» в разделе «Теги» на странице с деталями оповещений.
-
По желанию, чтобы предложить улучшение соответствующего уведомления о безопасности, справа на странице с деталями оповещений нажмите «Предложить улучшения» для этого уведомления на GitHub Advisory Database. См . раздел AUTOTITLE.
Советы по приоритизации оповещений
- Используйте порядок сортировки «Самый важный », чтобы сосредоточиться на оповещениях с наибольшим потенциалом воздействия.
- Отдавайте приоритет оповещениям, влияющим на зависимости от производства, а не зависимости от разработки.
- Используйте Правила автообработки зависимостей их для автоматического распределения приоритетов или управления оповещениями. См . раздел AUTOTITLE.
Для получения дополнительной информации о поддерживаемых экосистемах и файлах манифеста для области зависимости см. Поддерживаемые экосистемы и манифесты для области зависимостей.
Полный список доступных фильтров см. Фильтры оповещений Dependabot.
Чтобы получить оповещения программно, см. Конечные точки REST API для Dependabot alerts.
Просмотр и исправление оповещений
Вы можете изучить детали Dependabot оповещения, чтобы понять уязвимость и как её исправить.
Исправление уязвимых зависимостей
-
Посмотрите сведения об оповещении. Для получения дополнительной информации см. раздел «Просмотр и приоритетизацияDependabot alerts» (выше).
-
Если вы включили Dependabot security updates , возможно, есть ссылка на pull request, который исправит зависимость. В качестве альтернативы вы можете нажать «Создать Dependabot обновление безопасности » в верхней части страницы с деталями оповещения, чтобы создать pull request.
-
Опционально, если вы не используете Dependabot security updates, вы можете использовать информацию на странице, чтобы решить, на какую версию зависимости обновиться, и создать pull request для обновления зависимости до защищённой версии.
-
Когда вы будете готовы обновить зависимость и устранить уязвимость, объедините запрос на вытягивание.
Каждый pull-запрос, который поднимает Dependabot , содержит информацию о командах, которые можно использовать для управления Dependabot. Дополнительные сведения см. в разделе Управление запросами на вытягивание для обновлений зависимостей.
Увольнение Dependabot alerts
Примечание.
Вы можете закрыть только открытые оповещения.
Если вы планируете обширную работу по обновлению зависимости или решите, что оповещение не требует исправления, можно закрыть оповещение. Отклонение оповещений, которые вы уже проанализировали, упрощает рассмотрение новых оповещений по мере их появления.
-
[Просмотр и расстановка Dependabot alertsприоритетов](#viewing-and-prioritizing-dependabot-alerts) (выше). -
Выберите раскрывающийся список "Закрыть" и щелкните причину закрытия оповещения. Нефиксированные оповещений об увольнении можно повторно открыть позже.
-
При необходимости добавьте комментарий о закрытии. Комментарий о закрытии будет добавлен на временную шкалу оповещений, и он может использоваться в качестве обоснования для аудита или отчетов. Вы можете получить или задать комментарий с помощью API GraphQL. Комментарий содержится в поле
dismissComment. Дополнительные сведения см. в статье Объект в документации по API GraphQL.
-
Щелкните Закрыть оповещение.
Отклонение нескольких оповещений одновременно
-
Посмотрите открытую Dependabot alertsсторону.
-
При необходимости отфильтруйте список оповещений, выбрав раскрывающееся меню, а затем выберите фильтр, который нужно применить. Фильтры также можно вводить в строке поиска.
-
Слева от каждого заголовка оповещения выберите оповещения, которые требуется закрыть.
 -
При необходимости в верхней части списка оповещений выберите все оповещения на странице.
 -
Выберите раскрывающийся список "Закрыть оповещения" и щелкните причину закрытия оповещений.
Просмотр и обновление закрытых оповещений
Вы можете просматривать все открытые оповещения, а также повторно открывать оповещения, которые ранее были отклонены. Закрытые оповещения, которые уже были исправлены, невозможно открыть повторно.
-
На GitHubперейдите на главную страницу репозитория.
-
Под названием репозитория нажмите на Security вкладку. Если вы не видите вкладку « Security» — выберите выпадающее меню и нажмите Security.
-
В боковой панели «Оповещения о уязвимости» обзора безопасности нажмите Dependabot. Если этот параметр отсутствует, это означает, что у вас нет доступа к оповещениям системы безопасности. Вам необходимо получить права доступа. Для получения дополнительной информации см. Управление параметрами безопасности и анализа для репозитория.
 -
Чтобы просто просмотреть закрытые оповещения, нажмите кнопку Закрыты.
-
Щелкните оповещение, которое вы хотите просмотреть или обновить.
-
Если оповещение было отклонено и вы хотите открыть его снова, нажмите кнопку Открыть повторно. Оповещения, которые уже были исправлены, невозможно открыть повторно.
Одновременное повторное открытие нескольких оповещений
-
Посмотреть закрытый Dependabot alerts.
-
Слева от каждого заголовка оповещения выберите оповещения, которые нужно повторно открыть, щелкнув флажок рядом с каждым оповещением.
-
При необходимости в верхней части списка оповещений выберите все закрытые оповещения на странице.
 -
Щелкните Открыть повторно, чтобы повторно открыть оповещения. Оповещения, которые уже были исправлены, невозможно открыть повторно.
Проверка журналов аудита Dependabot alerts
Когда член вашей организации или предприятия совершает действие, связанное с Dependabot alerts, вы можете просмотреть эти действия в журнале аудита. Для получения дополнительной информации о доступе к журналу см. Просмотр журнала аудита для вашей организации и Доступ к журналу аудита для предприятия.
События в вашем журнале Dependabot alerts аудита включают такие детали, как кто совершил действие, что это было и когда оно было совершено. Это событие также содержит ссылку на само оповещение. Когда член вашей организации закрывает оповещение, событие отображает причину увольнения и комментарий. Для получения информации о Dependabot alerts действиях см. repository_vulnerability_alert категории в AUTOTITLE и События журнала аудита для вашего предприятия.