注意
站点管理员必须先为 你的 GitHub Enterprise Server 实例设置 Dependabot updates,然后你才能使用此功能。 有关详细信息,请参阅 为企业启用 Dependabot.
如果企业所有者在企业级别设置了策略,你可能无法启用或禁用 Dependabot updates。 有关详细信息,请参阅“强制实施企业的代码安全性和分析策略”。
存储库的 Dependabot alerts 选项卡列出所有打开和关闭的 Dependabot alerts 以及对应的 Dependabot security updates。 可以按包、生态系统或清单筛选警报。 还可以对警报列表进行排序,单击特定警报以获取更多详细信息。 还可以逐个关闭或重新打开警报,也可以一次选择多个警报。 有关详细信息,请参阅“关于 Dependabot 警报”。
关于仓库中有漏洞的依赖项的更新
每个 Dependabot 警报都有一个唯一的数字标识符,Dependabot alerts 选项卡列出了每个检测到的漏洞的警报。 旧版 Dependabot alerts 按依赖项对漏洞进行分组,并为每个依赖项生成一个警报。 如果导航到旧版 Dependabot 警报,则会将您重定向到为该包筛选的 Dependabot alerts 选项卡。
可以使用用户界面上提供的各种筛选器和排序选项对 Dependabot alerts 进行筛选和排序。 有关详细信息,请参阅下面的查看和优化 Dependabot alerts。
还可以审核为响应 Dependabot 警报而执行的操作。 有关详细信息,请参阅“审核安全警报”。
查看和优化 Dependabot alerts
可以查看、排序和筛选 Dependabot alerts,以专注于最重要的警报。
默认情况下,警报按 最重要的是排序,这有助于根据潜在影响、可作性和相关性等因素确定修复的优先级。 此优先级不断改进,并考虑 CVSS 分数、依赖项范围等信号,以及是否检测到易受攻击的函数调用。
你可以在存储库的 Dependabot alerts 选项卡中查看所有打开和关闭的 Dependabot alerts 以及对应的 Dependabot security updates。
-
在 GitHub 上,导航到存储库的主页面。1. 在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
1. 在安全概览的“漏洞警报”边栏中,单击“Dependabot”。 如果缺少此选项,则表示你无权访问安全警报,需要被授予访问权限。 有关详细信息,请参阅“管理存储库的安全和分析设置”。
-
(可选)优化警报列表:
-
使用列表顶部的下拉菜单对警报进行排序或筛选。
-
直接在搜索栏中键入以筛选告警,并支持对告警详情和相关安全公告进行全文搜索。
-
单击警报上的标签,按该标签自动筛选列表。
-
若要识别影响开发依赖项的
scope:development警报,请根据筛选器进行筛选,或查找标记为“开发”的警报。 这有助于确定首先影响生产依赖项的警报的优先级。
-
-
单击警报以查看其详细信息。 针对开发环境依赖项的警报在警报详细信息页的“标签”部分中包含“开发”标签。
-
(可选)若要对相关安全公告提出改进建议,请在警报详细信息页面右侧,单击“建议对关于 GitHub Advisory Database 的此公告进行改进”。**** 请参阅“在 GitHub Advisory Database 中编辑安全公告”。
用于确定警报优先级的提示
- 使用 最重要的 排序顺序将注意力集中在具有最高潜在影响的警报上。
- 将影响生产依赖项的警报优先于将影响开发依赖项的警报。
- 使用 Dependabot 自动分类规则 自动优先处理或管理警报。 请参阅“关于 Dependabot 自动分类规则”。
有关依赖项范围支持的生态系统和清单文件的详细信息,请参阅 依赖项范围的受支持生态系统和清单。
有关可用筛选器的完整列表,请参阅 Dependabot 警报筛选器。
若要以编程方式检索警报,请参阅 适用于 Dependabot alerts 的 REST API 终结点。
查看和修复警报
可以查看 Dependabot 警报的详细信息,以便了解漏洞及其修复方法。
修复易受攻击的依赖项
-
查看警报的详细信息。 有关详细信息,请参阅查看和优化 Dependabot alerts(上文)。
-
如果启用了 Dependabot security updates,则可能会有一个指向可修复依赖项的拉取请求的链接。 或者,可以单击警报详细信息页顶部的“创建 Dependabot 安全更新”以创建拉取请求。****
-
(可选)如果不使用 Dependabot security updates,可以使用页面上的信息来确定要升级到哪个版本的依赖项,并创建拉取请求以将依赖项更新到安全版本。
-
当您准备好更新依赖项并解决漏洞时,合并拉取请求。
Dependabot 提出的每个拉取请求都包含可用于控制 Dependabot 的命令的信息。 有关详细信息,请参阅“管理依赖项更新的所有拉取请求”。
消除 Dependabot alerts
注意
你只能消除打开的警报。
如果你安排大量工作来升级依赖项,或者决定不需要修复警报,则可以消除警报。 消除已评估的警报可以更轻松地在新警报出现时对其进行会审。
-
[查看和优化 Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts)(上文)。 -
选择“消除”下拉列表,然后单击消除警报的原因。 之后可以重新打开未修复且已消除的警报。
-
(可选)添加消除注释。 消除操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可使用 GraphQL API 检索或设置注释。 注释包含在
dismissComment字段中。 有关详细信息,请参阅 GraphQL API 文档中的“对象”。
-
单击“消除警报”。****
一次忽略多个警报
-
查看打开的 Dependabot alerts。
-
(可选)通过选择下拉菜单筛选警报列表,然后单击要应用的筛选器。 您还可以在搜索栏中键入过滤条件。
-
在每个警报标题的左侧,选择要消除的警报。
 -
(可选)在警报列表顶部,选择页面上的所有警报。
 -
选择“消除警报”下拉列表,然后单击消除警报的原因。
查看和更新已关闭的警报
可以查看所有打开的警报,并且可以重新打开之前消除的警报。 已修复的已关闭警报无法重新打开。
-
在 GitHub 上,导航到存储库的主页面。1. 在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
1. 在安全概览的“漏洞警报”边栏中,单击“Dependabot”。 如果缺少此选项,则表示你无权访问安全警报,需要被授予访问权限。 有关详细信息,请参阅“管理存储库的安全和分析设置”。 -
若要仅查看已关闭的警报,请单击“已关闭”。****
-
单击要查看或更新的警报。
-
(可选)如果警报已关闭,并且想要重新打开警报,请单击“重新打开”。**** 已修复的警报无法重新打开。
一次重新打开多个警报
-
查看已关闭的 Dependabot alerts。
-
在每个警报标题的左侧,选择要重新打开的警报,方法是单击每个警报旁边的复选框。
-
(可选)在警报列表顶部,选择页面上的所有已关闭的警报。
 -
单击“重新打开”以重新打开警报。**** 已修复的警报无法重新打开。
查看 Dependabot alerts 的审核日志
当组织或企业成员执行与 Dependabot alerts 相关的操作时,你可以在审核日志中查看这些操作。 有关访问日志的详细信息,请参阅 查看贵组织的审核日志 和 访问企业的审核日志。
Dependabot alerts 审核日志中的事件包括详细信息,例如执行操作的人员、操作内容以及操作执行时间。 该事件还包括指向警报本身的链接。 当组织成员消除警报时,事件会显示消除原因和注释。 有关 Dependabot alerts 操作的信息,请参阅 repository_vulnerability_alert 和 组织的审核日志事件 中的 类别。