Сведения о правилах автообработки Dependabot

Контролировать, как Dependabot обрабатывает оповещения безопасности, включая фильтрацию, игнорирование, откладывание или запуск обновлений безопасности.

Кто может использовать эту функцию?

Предустановки GitHub доступны для всех типов репозитория.

Пользовательские правила автоматической сортировки доступны для следующих типов репозитория:

  • Репозитории, принадлежащие организации, с GitHub Code Security включено

В этой статье

О Правила автообработки зависимостей

Правила автообработки зависимостей позволяют вам инструктировать Dependabot автоматически сортировать Dependabot alerts. Вы можете использовать Правила автоматической сортировки, чтобы:

  • Автоматически отклоняйте или откладайте определённые оповещения
  • Укажите Dependabot alerts, которое вы хотите использовать Dependabot для открытия pull request для

Правила применяются до отправки уведомлений, поэтому введение правил, автоматически отклоняющих оповещения с низким риском, поможет снизить шум уведомлений.

Существует два типа данных Правила автообработки зависимостей:

  • Предустановки GitHub
  • Пользовательские правила автоматической сортировки

О Предустановки GitHub

Предустановки GitHub — это правила, курируемые GitHub, доступные для всех репозиториев.

Игнорируйте вопросы низкого воздействия в пользу зависимостей, ориентированных на разработку

Dismiss low impact issues for development-scoped dependencies Правило — это предустановка GitHub, которая автоматически закрывает определенные типы уязвимостей, обнаруженных в зависимостях npm, используемых в разработке. Эти оповещения охватывают случаи, которые большинству разработчиков кажутся ложными тревогами как связанные с ними уязвимости:

  • Вряд ли будет использоваться в среде разработчика (непроизводственных или среды выполнения).
  • Может относиться к управлению ресурсами, программированию и логике и проблемам раскрытия информации.
  • В худшем случае имеют ограниченные эффекты, такие как медленные сборки или длительные тесты.
  • Не свидетельствуют о проблемах в рабочей среде.

Правило включено по умолчанию для общедоступных репозиториев и может быть включено для частных репозиториев. Инструкции смотрите в разделе «Включение Dismiss low impact issues for development-scoped dependencies правила для вашего приватного репозитория».

Для получения дополнительной информации о критериях, используемых в этом правиле, см. CWE, используемые в предустановленных правилах Dependabot на GitHub.

О пользовательские правила автоматической сортировки

Примечание.

Пользовательские правила автоматической сортировки для Dependabot alerts доступны для репозиториев, принадлежащих организации, с включенными GitHub Code Security .

С помощью пользовательские правила автоматической сортировкиможно создать собственные правила для автоматического закрытия или повторного открытия оповещений на основе целевых метаданных, таких как серьезность, имя пакета, CWE и многое другое. Вы также можете указать, для какого Dependabot alertsданных Dependabotдля открытия pull request. Дополнительные сведения см. в разделе Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.

Настраиваемые правила можно создать на вкладке "Параметры " репозитория, если репозиторий принадлежит организации, имеющей лицензию на GitHub Code Security or GitHub Advanced Security. Дополнительные сведения см. в разделе "Добавление настраиваемых правил автоматической сортировки" в репозиторий.

Сведения об автоматическом закрытии оповещений

Хотя вы можете найти полезно использовать правила автоматической обработки для автоматического закрытия оповещений, вы по-прежнему можете повторно открыть автоматически снятые оповещения и фильтр, чтобы увидеть, какие оповещения были автоматически отклонены. Дополнительные сведения см. в разделе Управление оповещениями, которые были автоматически отклонены правилом auto-triage Dependabot.

Кроме того, автоматическое закрытие оповещений по-прежнему доступно для создания отчетов и проверки, и может быть автоматически повторно открыт при изменении метаданных оповещений, например:

  • Если изменить область зависимости от разработки на рабочую среду.
  • Если GitHub изменяет определенные метаданные для связанных рекомендаций.

Автоматическое закрытие оповещений resolution:auto-dismiss определяется по причине закрытия. Автоматическое отключение действий включается в веб-перехватчики оповещений, ИНТЕРФЕЙСы API REST и GraphQL и журнал аудита. Дополнительные сведения см. в разделе [AUTOTITLE и разделе "" в repository_vulnerability_alert](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/reviewing-the-audit-log-for-your-organization#repository_vulnerability_alert-category-actions).

Дальнейшие действия

Чтобы начать с Правила автообработки зависимостей, см. Использование предустановленных правил GitHub для определения приоритетов оповещений Dependabot.

Чтобы настроить ваш опыт автосортировки, смотрите Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.