关于 Dependabot 自动分类规则
Dependabot 自动分类规则 允许你指示 Dependabot 自动对 Dependabot alerts 进行分类。 你可以使用 自动分类规则 自动关闭或推迟某些警报,或指定希望 Dependabot 为其打开拉取请求的警报。 规则在发送警报通知之前应用,因此启用自动消除低风险警报的规则将防止来自未来匹配警报的通知干扰。
Dependabot 自动分类规则 有两种类型:
- GitHub 预设
- 自定义自动分类规则
关于 GitHub 预设
注意
Dependabot alerts 的 GitHub 预设 是可用于所有存储库的规则。
GitHub 预设 是由 GitHub 特选的规则。
Dismiss low impact issues for development-scoped dependencies 规则是 GitHub 预设的规则,可自动消除在开发中使用的 npm 依赖项中发现的某些类型的漏洞。 这些警报涵盖了大多数开发人员感觉像是误报的情况,因为相关的漏洞:
- 在开发人员(非生产或运行时)环境中不太可能被攻击。
- 可能与资源管理、编程和逻辑以及信息泄露问题相关。
- 在最坏的情况下,具有有限的影响,例如生成缓慢或测试长时间运行。
- 不指示生产环境中的问题。
默认情况下,将为公共存储库启用该规则,也可以为专用存储库选择启用该规则。 有关说明,请参阅 为专用存储库启用 Dismiss low impact issues for development-scoped dependencies 规则。
有关规则使用的条件的详细信息,请参阅 GitHub 预设 Dependabot 规则使用的 CWE。
关于 自定义自动分类规则
注意
Dependabot alerts 的 自定义自动分类规则 在公共存储库上以及启用了 GitHub Code Security 的 GitHub Team 或 GitHub Enterprise 中的任何组织拥有的存储库上可用。
使用 自定义自动分类规则,你可以创建自有规则,根据目标元数据自动消除或重新打开警报,例如严重性、包名称、CWE 等。 你还可以指定希望 Dependabot 为其打开拉取请求的警报。 有关详细信息,请参阅“自定义自动分类规则以确定 Dependabot 警报的优先级”。
可以从仓库的“Settings”选项卡创建自定义规则,前提是仓库属于具有 GitHub Code Security or GitHub Advanced Security 许可证的组织****。 有关详细信息,请参阅将自定义自动会审规则添加到仓库。
关于自动消除警报
虽然你可能会发现使用自动分类规则自动消除警报很有用,但你仍然可以重新打开自动消除的警报并进行筛选以查看哪些警报已自动消除。 有关详细信息,请参阅“管理已由 Dependabot 自动分类规则自动消除的警报”。
此外,自动消除的警报仍可用于报告和查看,也可在警报元数据发生更改时重新自动打开,例如:
- 如果将依赖项的范围从开发更改为生产。
- 如果 GitHub 修改相关公告的某些元数据。
自动消除的警报由 resolution:auto-dismiss 关闭原因定义。 自动消除活动包含在警报 Webhook、REST 和 GraphQL API 以及审核日志中。 更多信息,请参阅 适用于 Dependabot alerts 的 REST API 终结点,以及 repository_vulnerability_alert 中的“”部分。
延伸阅读
-
[AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/using-github-preset-rules-to-prioritize-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)