Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot

О пользовательские правила автоматической сортировки

Вы можете создать собственные данные Правила автообработки зависимостей на основе метаданных оповещений. Вы можете выбрать автоматическое отклонение оповещений на неопределённый срок или откладывать оповещения до выхода патча, а также указать, для какого Dependabot alertsданных Dependabot вы хотите, чтобы открывать pull request. Правила применяются до отправки уведомлений, поэтому создание индивидуальных правил, автоматически отклоняющих оповещения с низким риском, уменьшит будущий шум уведомлений.

Поскольку любые правила, которые вы создаете, применимы как к будущим, так и к текущим оповещениям, вы также можете использовать Правила автоматической сортировки для массового управления оповещениями.

Администраторы репозитория могут создавать пользовательские правила автоматической сортировки для своих репозиториев. Для этого требуется GitHub Code Security.

Владельцы организации и руководители по безопасности могут задать пользовательские правила автоматической сортировки на уровне организации, а затем выбрать, применяется ли правило для всех общедоступных и частных репозиториев в организации.

• Принудительное применение. Если правило уровня организации "принудительно", администраторы репозитория не могут изменять, отключать или удалять правило.
• Включено. Если правило уровня организации "включено", администраторы репозитория по-прежнему могут отключить правило для своего репозитория.

Вы можете создать правила для целевых оповещений с помощью следующих метаданных:

• ИДЕНТИФИКАТОР CVE
• CWE
• Область зависимостей (devDependency или runtime)
• Экосистема
• Идентификатор GHSA
• Путь манифеста (только для правил уровня репозитория)
• Имя пакета
• Доступность исправлений
• Severity
• Оценка EPSS

Общие сведения о взаимодействии данных пользовательские правила автоматической сортировки и Dependabot security updates

Вы можете использовать пользовательские правила автоматической сортировки, чтобы настроить Dependabot% данные variables.product.prodname_dependabot_alerts %} для открытия pull request. Однако для того чтобы правило "открыть запрос на вытягивание", необходимо убедиться, что Dependabot security updates отключены **** для репозитория (или репозиториев), к которому должно применяться правило.

Если для репозитория включены Dependabot security updates, Dependabot автоматически попытается открыть запросы на вытягивание для разрешения всех открытых оповещений Dependabot с доступным исправлением. Если вы предпочитаете настраивать это поведение с помощью правила, необходимо оставить Dependabot security updates отключен.

Дополнительные сведения о включении или отключении данных Dependabot security updates для репозитория см. в разделе Настройка обновлений для системы безопасности Dependabot.

Добавление пользовательские правила автоматической сортировки в репозиторий

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

4. В разделе "Dependabot", справа от "Dependabot rules", нажмите .

5. Нажмите кнопку Создать правило.

6. В разделе "Имя правила" описано, что будет делать это правило.

7. В разделе "Состояние" используйте раскрывающееся меню, чтобы выбрать, следует ли включить или отключить правило для репозитория.

8. В разделе "Целевые оповещения" выберите метаданные, которые необходимо использовать для фильтрации оповещений.

9. В разделе "Правила" выберите действие, которое вы хотите принять для оповещений, которые соответствуют метаданным:

   • Выберите "Закрыть оповещения" , чтобы автоматически закрыть оповещения, соответствующие метаданным. Вы можете отключить оповещения на неопределенный срок или до тех пор, пока не будет доступно исправление.
   • Выберите "Открыть запрос на вытягивание", чтобы устранить это оповещение , если требуется Dependabot, чтобы предложить изменения для разрешения оповещений, соответствующих целевым метаданным. Обратите внимание, что эта опция недоступна, если вы уже выбрали опцию отклонения оповещений на неопределённый срок или если Dependabot security updates включены в настройках вашего репозитория.

10. Нажмите кнопку "Создать правило".

Добавление пользовательские правила автоматической сортировки в организацию

Вы можете добавить пользовательские правила автоматической сортировки для всех подходящих репозиториев в организации. Дополнительные сведения см. в разделе Настройка глобальных параметров безопасности для организации.

Изменение или удаление пользовательские правила автоматической сортировки для репозитория

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

4. В разделе "Dependabot", справа от "Dependabot rules", нажмите .

5. В разделе "Правила репозитория" справа от правила, которое требуется изменить или удалить, щелкните .

6. Чтобы изменить правило, внесите изменения в применимые поля и нажмите кнопку "Сохранить правило". 1. Чтобы удалить правило, в разделе "Зона опасности" нажмите кнопку "Удалить правило".

7. В разделе "Вы уверены, что хотите удалить это правило?" диалоговое окно, просмотрите сведения и нажмите кнопку "Удалить правило".

Изменение или удаление пользовательские правила автоматической сортировки для вашей организации

Вы можете изменить или удалить пользовательские правила автоматической сортировки для всех подходящих репозиториев в вашей организации. Дополнительные сведения см. в разделе Настройка глобальных параметров безопасности для организации.