Enterprise Server 3.21 в настоящее время доступен в качестве кандидата на выпуск.

Сведения об оповещениях Dependabot

          Dependabot alerts Помогут вам найти и исправить уязвимые зависимости до того, как они станут угрозой безопасности.

Кто может использовать эту функцию?

Dependabot alerts доступны для репозиториев, принадлежащих организациям, и пользователям.

В этой статье

Программное обеспечение часто опирается на пакеты из различных источников, создавая зависимости, которые могут неосознанно привести к уязвимостям безопасности. Когда ваш код зависит от пакетов с известными уязвимостями, вы становитесь мишенью для злоумышленников, стремящихся использовать вашу систему — потенциально получая доступ к вашему коду, данным, клиентам или участникам. Dependabot alerts Уведомлять вас о уязвимых зависимостях, чтобы вы могли обновиться до защищённых версий и защитить свой проект.

Когда Dependabot отправляет оповещения

          Dependabot сканирует стандартную ветку вашего репозитория и отправляет оповещения, когда:

Для поддерживаемых экосистем см. AUTOTITLE.

Понимание оповещений

При GitHub обнаружении уязвимой зависимости на вкладке репозитория и графике зависимостей появляется Dependabot** Security** предупреждение. Каждое предупреждение включает:

  • Ссылка на затронутый файл
  • Подробности о уязвимости и её серьёзности
  • Информация о фиксированной версии (когда доступна)

Для получения информации о просмотре и управлении уведомлениями см. Просмотр и обновление оповещений Dependabot.

Кто может включить оповещения?

Администраторы репозиториев и владельцы организаций могут включать Dependabot alerts свои репозитории. При включении GitHub сразу создаётся граф зависимостей и оповещения о любых уязвимых зависимостях, которые он идентифицирует.

Владельцы предприятия должны включить Dependabot alerts для ваш экземпляр GitHub Enterprise Server, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

См . раздел AUTOTITLE.

Предупреждение о собственности и передаче

Пользователи с доступом к записи и выше могут назначать Dependabot alerts сотрудникам репозитория, командам или агентам ИИ для установления чёткого права собственности на устранение уязвимостей. Задания помогают отслеживать, кто отвечает за каждое оповещение, и предотвратять упущение уязвимостей.

Вы можете назначать оповещения следующим типам агентов:

  • **Copilot **, GitHubвстроенный агент ИИ.
  • Сторонние агенты, такие как Codex или Claude, при включении в настройках репозитория.

Когда оповещение назначается человеку или команде, получатель получает уведомление, и оно отображает его имя в списке оповещений. Вы можете фильтровать оповещения по назначению, чтобы отслеживать прогресс.

Когда агенту назначается оповещение, агент автоматически создаёт сессию и открывает черновик pull request с предложенным исправлением. Если агент не может сгенерировать исправление, он остаётся присваивателем, и вы можете нажать «Просмотр сессии » на таймлайне оповещений, чтобы просмотреть журнал агента.

Примечание.

Видимость назначения в настоящее время ограничена на вид оповещений на уровне репозитория. Общеорганизационный обзор безопасности не отображает назначения оповещений.

Когда меняются назначенцы оповещения, GitHub отправляется assignees_changed событие webhook. Это событие можно использовать для запуска рабочих процессов или синхронизации данных назначений с внешними системами. Дополнительные сведения см. в разделе События и полезные данные веб-перехватчика.

Автоматизация и интеграции

Вы можете программно управлять назначением оповещений с помощью REST API. Дополнительные сведения см. в разделе Конечные точки REST API для Dependabot alerts.

Для получения информации о назначении оповещений см. Просмотр и обновление оповещений Dependabot.

Как работают уведомления о предупреждениях

По умолчанию GitHub отправляет уведомления о новых уведомлениях по электронной почте тем, кто одновременно:

  • Имейте права на запись, поддержание или администраторские права на репозиторий
  • Следим за репозиторием и включил уведомления о безопасности или о всей активности в репозитории

Независимо от ваших настроек уведомлений, при Dependabot первом включении GitHub уведомления не отправляются по всем уязвимым зависимостям в вашем репозитории. Вместо этого вы будете получать уведомления о новых уязвимых зависимостях, выявленных после Dependabot включения, если ваши настройки уведомления это позволяют.

Если вас беспокоит слишком много уведомлений, мы рекомендуем использовать Правила автообработки зависимостей их для автоматического отклонения оповещений с низким риском. Правила применяются перед отправкой уведомлений оповещений, поэтому оповещения, которые автоматически закрываются при создании, не отправляют уведомления. См . раздел AUTOTITLE.

В качестве альтернативы вы можете включить еженедельный дайджест электронной почты или даже полностью отключить уведомления, оставив Dependabot alerts их включёнными.

Ограничения

          Dependabot alerts Есть некоторые ограничения:

  • Оповещения не могут обнаружить все проблемы с безопасностью. Всегда проверяйте свои зависимости и держите манифест и файлы блокировки актуальными для точного обнаружения.

  • Новые уязвимости могут потребовать времени, чтобы появиться в GitHub Advisory Database системе и вызвать оповещения.

  • Только предупреждения, которые проверяются триггерными GitHub оповещениями.

  • Dependabot не сканирует архивные репозитории.

  • Dependabot не генерирует оповещения о вредоносном ПО.

  • Для GitHub Actions оповещения генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA.

Дополнительные материалы