自定义自动分类规则以确定 Dependabot 警报的优先级

关于自定义自动分类规则

您可以根据警报元数据创建自己的 Dependabot 自动分类规则。你可以选择无限期自动忽略警报，或将警报暂停直到补丁可用，并且你可以指定你希望 Dependabot alerts 为哪些 Dependabot 打开拉取请求。在发送警报通知之前应用规则，因此创建自定义规则，自动消除低风险警报将降低未来的通知干扰。

由于创建的任何规则都适用于将来和当前警报，因此还可以用于自动分类规则批量管理警报。

存储库管理员可以为其存储库创建自定义自动分类规则。对于专用或内部存储库，这需要 GitHub Code Security。

组织所有者和安全经理可以在组织级别设置自定义自动分类规则，然后选择是否在组织中所有公共和专用存储库中强制执行或启用规则。

强制执行： 如果组织级规则为“强制执行”，则存储库管理员无法编辑、禁用或删除规则。
已启用： 如果组织级规则为“已启用”，则存储库管理员仍可禁用其存储库的规则。

注意

如果组织级规则和存储库级规则指定冲突行为，则组织级规则阐述的操作优先。解除规则始终在触发 Dependabot 拉取请求的规则之前执行。

你可以使用以下元数据创建规则来定位警报：

CVE ID
CWE
依赖项范围（devDependency 或 runtime）
生态系统
GHSA 标识符
清单路径（仅适用于存储库级的规则）
包名称
修补程序可用性
Severity
EPSS 分数

了解自定义自动分类规则和Dependabot security updates的交互方式

注意

Dependabot 将仅打开拉取请求以解析 Dependabot alerts，而不是 Dependabot malware alerts。

你可以使用自定义自动分类规则来定制你希望 Dependabot alerts 为哪些 Dependabot 打开拉取请求。但是，要使“打开拉取请求”规则生效，你必须确保 Dependabot security updates 对规则应适用的存储库（或多个存储库）已禁用。

当为存储库启用 Dependabot security updates 时，Dependabot 将自动尝试打开拉取请求以解决每个具有可用补丁的开放 Dependabot 警报。如果希望使用规则自定义此行为，则必须保持 Dependabot security updates 禁用状态。

有关为存储库启用或禁用 Dependabot security updates 的详细信息，请参阅配置 Dependabot 安全更新。

将自定义自动分类规则添加到您的存储库

注意

在公开预览期间，您最多可以为存储库创建 10 个自定义自动分类规则。

在 GitHub 上，导航到存储库的主页面。
在仓库名称下，单击 “Settings”****。如果看不到“设置”选项卡，请选择“”下拉菜单，然后单击“设置”。
在边栏的“Security”部分中，单击“ Advanced Security”****。
在“Dependabot”部分，单击“Dependabot 规则”右侧的。
单击“新建规则”。
在“规则名称”下，描述此规则要执行的操作。
在“状态”下，使用下拉菜单选择是应为存储库启用或禁用规则。
在“目标警报”下，选择要用于筛选警报的元数据。
在“规则”下，选择要对符合元数据的警报执行的操作：
- 选择“消除警报”以自动消除符合元数据的警报。**** 可以选择无限期或在修补程序可用前消除警报。
- 如果要**** 建议更改以解决与目标元数据匹配的警报，请选择Dependabot。请注意，如果已选择无限期关闭警报的选项或在 Dependabot security updates 存储库设置中启用，则此选项不可用。
  
  注意
  
  Dependabot 将仅打开拉取请求以解析 Dependabot alerts，而不是 Dependabot malware alerts。
单击“创建规则”。