关于 Dependabot 自动分类规则

关于 Dependabot 自动分类规则

Dependabot 自动分类规则 允许您指示 Dependabot 自动分类处理 Dependabot alerts 和 Dependabot malware alerts。 您可以使用 自动分类规则 来：

• 自动消除或推迟某些警报
• 指定您希望数据变量.product.prodname_dependabot打开拉取请求的警报数据变量.product.prodname_dependabot_alerts

在发送警报通知之前应用规则，因此启用自动消除低风险警报的规则将有助于降低通知噪音。

Dependabot 自动分类规则 有两种类型：

• GitHub 预设
• 数据变量.dependabot.自定义规则大写 %}

关于 GitHub 预设

GitHub 预设 是由 GitHub 策划并适用于所有存储库的规则。

忽略开发范围内依赖项的低影响问题

Dismiss low impact issues for development-scoped dependencies 规则是 GitHub 预设的规则，可自动消除在开发中使用的 npm 依赖项中发现的某些类型的漏洞。 这些警报涵盖了大多数开发人员感觉像是误报的情况，因为相关的漏洞：

• 在开发人员（非生产或运行时）环境中不太可能被攻击。
• 可能与资源管理、编程和逻辑以及信息泄露问题相关。
• 在最坏的情况下，具有有限的影响，例如生成缓慢或测试长时间运行。
• 不指示生产环境中的问题。

默认情况下，将为公共存储库启用该规则，也可以为专用存储库选择启用该规则。 有关说明，请参阅 为专用存储库启用 Dismiss low impact issues for development-scoped dependencies 规则。

有关规则使用的条件的详细信息，请参阅 GitHub 预设 Dependabot 规则使用的 CWE。

忽略软件包恶意软件警报

该 Dismiss package malware alerts 规则是 GitHub 的预设，可自动忽略将包的所有版本标记为恶意的警报。 如果项目依赖于与恶意公共包相同的生态系统和名称的内部包，Dependabot 可能会生成误警报，然后规则会自动解除该警报。

该 Dismiss package malware alerts 规则默认处于禁用状态，但可以使用 Dependabot malware alerts为任何存储库启用。

关于 自定义自动分类规则

使用 自定义自动分类规则，你可以创建自有规则，根据目标元数据自动消除或重新打开警报，例如严重性、包名称、CWE 等。 还可以指定要让 数据变量.product.prodname_dependabot %} 为哪些 数据变量.product.prodname_dependabot_alerts %} 打开拉取请求。 有关详细信息，请参阅“自定义自动分类规则以确定 Dependabot 警报的优先级”。

可以从仓库的“Settings”选项卡创建自定义规则，前提是仓库属于具有 GitHub Code Security or GitHub Advanced Security 许可证的组织****。 有关详细信息，请参阅将自定义自动会审规则添加到仓库。

关于自动消除警报

虽然你可能会发现使用自动分类规则自动消除警报很有用，但你仍然可以重新打开自动消除的警报并进行筛选以查看哪些警报已自动消除。 有关详细信息，请参阅“管理已由 Dependabot 自动分类规则自动消除的警报”。

此外，自动消除的警报仍可用于报告和查看，也可在警报元数据发生更改时重新自动打开，例如：

• 如果将依赖项的范围从开发更改为生产。
• 如果 GitHub 修改相关公告的某些元数据。

自动消除的警报由 resolution:auto-dismiss 关闭原因定义。 自动消除活动包含在警报 Webhook、REST 和 GraphQL API 以及审核日志中。 更多信息，请参阅 适用于 Dependabot alerts 的 REST API 终结点，以及 repository_vulnerability_alert 中的“”部分。

后续步骤

开始使用 Dependabot 自动分类规则，请查看 使用 GitHub 预设规则确定 Dependabot 警报的优先级。

若要自定义自动排查体验，请参阅 自定义自动分类规则以确定 Dependabot 警报的优先级。