Configuring Dependabot alerts

Enable Dependabot alerts to be generated when a new vulnerable dependency is found in one of your repositories.

Кто может использовать эту функцию?

  • Администраторы репозитория, владелец организации и люди с доступом на запись или обслуживание
  • Пользователи и команды с явным доступом. См. статью "Предоставление доступа к оповещению системы безопасности".

В этой статье

About Dependabot alerts for vulnerable dependencies

Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки.

Dependabot scans code when a new advisory is added to the GitHub Advisory Database or the dependency graph for a repository changes. When vulnerable dependencies are detected, Dependabot alerts are generated. For more information, see Сведения об оповещениях Dependabot.

Если вы включили Dependabot security updates для репозитория, оповещение также может содержать ссылку на запрос на вытягивание, чтобы обновить манифест или файл блокировки до минимальной версии, которая устраняет уязвимость. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.

Примечание.

An enterprise owner must first set up Dependabot for your enterprise before you can configure Dependabot alerts. For more information, see Включение Dependabot для предприятия.

You can enable or disable Dependabot alerts for:

  • Your personal account
  • Your repository
  • Your organization
  • Your enterprise

Кроме того, можно использовать Правила автообработки зависимостей для управления оповещениями в масштабе, чтобы можно было автоматически закрыть или отклонить оповещения, а также указать, для каких оповещений требуется Dependabot для открытия запросов на вытягивание. Сведения о различных типах правил автоматической сортировки и о том, разрешены ли репозитории, см. в разделе Сведения о правилах автообработки Dependabot.

Managing Dependabot alerts for your personal account

Dependabot alerts for your repositories can be enabled or disabled by your enterprise owner. For more information, see Включение Dependabot для предприятия.

Managing Dependabot alerts for your repository

You can manage Dependabot alerts for your public, private or internal repository.

By default, we notify people with write, maintain, or admin permissions in the affected repositories about new Dependabot alerts. GitHub never publicly discloses insecure dependencies for any repository. You can also make Dependabot alerts visible to additional people or teams working on repositories that you own or have admin permissions for.

An enterprise owner must first set up Dependabot for your enterprise before you can manage Dependabot alerts for your repository. For more information, see Включение Dependabot для предприятия.

Enabling or disabling Dependabot alerts for a repository

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Code security.

  4. Under "Code security", to the right of Dependabot alerts, click Enable to enable alerts or Disable to disable alerts.

Managing Dependabot alerts for your organization

You can enable Dependabot alerts for all eligible repositories in your organization. For more information, see About enabling security features at scale.

Managing Dependabot alerts for your enterprise

Security configurations, which are collections of security settings, allow you to manage Dependabot alerts for your enterprise. See Создание настраиваемой конфигурации безопасности для предприятия.