Сведения об оповещениях Dependabot

          Dependabot alerts Помогут вам найти и исправить уязвимые зависимости до того, как они станут угрозой безопасности.

Кто может использовать эту функцию?

Dependabot alerts доступны для репозиториев, принадлежащих организациям, и пользователям.

В этой статье

Программное обеспечение часто опирается на пакеты из различных источников, создавая зависимости, которые могут неосознанно привести к уязвимостям безопасности. Когда ваш код зависит от пакетов с известными уязвимостями, вы становитесь мишенью для злоумышленников, стремящихся использовать вашу систему — потенциально получая доступ к вашему коду, данным, клиентам или участникам. Dependabot alerts Уведомлять вас о уязвимых зависимостях, чтобы вы могли обновиться до защищённых версий и защитить свой проект.

Когда Dependabot отправляет оповещения

          Dependabot сканирует стандартную ветку вашего репозитория и отправляет оповещения, когда:
  • Добавляется новая уязвимость в GitHub Advisory Database
  • Ваш граф зависимостей меняется — например, когда вы запускаете коммиты, обновляющие пакеты или версии

Для поддерживаемых экосистем см. AUTOTITLE.

Понимание оповещений

При GitHub обнаружении уязвимой зависимости на вкладке «Безопасность» и графике зависимостей, появляется Dependabot оповещение. Каждое предупреждение включает:

  • Ссылка на затронутый файл
  • Подробности о уязвимости и её серьёзности
  • Информация о фиксированной версии (когда доступна)

Для получения информации о просмотре и управлении уведомлениями см. Просмотр и обновление оповещений Dependabot.

Кто может включить оповещения?

Администраторы репозиториев и владельцы организаций могут включать Dependabot alerts свои репозитории и организации. При включении GitHub сразу создаётся граф зависимостей и оповещения о любых уязвимых зависимостях, которые он идентифицирует. Администраторы репозиториев могут предоставлять доступ дополнительным пользователям или командам.

См . раздел AUTOTITLE.

Предупреждение о собственности и передаче

Пользователи с доступом к записи и выше могут назначить Dependabot alerts репозиторий, команд или Copilot установить чёткое право собственности на устранение уязвимостей. Задания помогают отслеживать, кто отвечает за каждое оповещение, и предотвратять упущение уязвимостей.

Когда оповещение назначено, получатель получает уведомление, и оно отображает его имя в списке оповещений. Вы можете фильтровать оповещения по назначению, чтобы отслеживать прогресс. Назначение оповещения Copilot автоматически генерирует исправление и открывает черновик pull request для проверки.

Для получения информации о назначении оповещений см. Просмотр и обновление оповещений Dependabot.

Как работают уведомления о предупреждениях

По умолчанию GitHub отправляет уведомления о новых уведомлениях по электронной почте тем, кто одновременно:

  • Имейте права на запись, поддержание или администраторские права на репозиторий
  • Следим за репозиторием и включил уведомления о безопасности или о всей активности в репозитории

Вы можете отменить стандартное поведение, выбрав тип уведомлений для получения или полностью отключив уведомления на странице настроек для уведомлений пользователей по адресу https://github.com/settings/notifications.

Независимо от ваших настроек уведомлений, при Dependabot первом включении GitHub уведомления не отправляются по всем уязвимым зависимостям в вашем репозитории. Вместо этого вы будете получать уведомления о новых уязвимых зависимостях, выявленных после Dependabot включения, если ваши настройки уведомления это позволяют.

Если вас беспокоит слишком много уведомлений, мы рекомендуем использовать Правила автообработки зависимостей их для автоматического отклонения оповещений с низким риском. Правила применяются перед отправкой уведомлений оповещений, поэтому оповещения, которые автоматически закрываются при создании, не отправляют уведомления. См . раздел AUTOTITLE.

В качестве альтернативы вы можете включить еженедельный дайджест электронной почты или даже полностью отключить уведомления, оставив Dependabot alerts их включёнными.

Ограничения

          Dependabot alerts Есть некоторые ограничения:

  • Оповещения не могут обнаружить все проблемы с безопасностью. Всегда проверяйте свои зависимости и держите манифест и файлы блокировки актуальными для точного обнаружения.

  • Новые уязвимости могут потребовать времени, чтобы появиться в GitHub Advisory Database системе и вызвать оповещения.

  • Только предупреждения, которые проверяются триггерными GitHub оповещениями.

  •         Dependabot не сканирует архивные репозитории.

  • Для GitHub Actions оповещения генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA.

            GitHub Никогда публично не раскрывает уязвимости для любого репозитория.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)