Программное обеспечение часто опирается на пакеты из различных источников, создавая зависимости, которые могут неосознанно привести к уязвимостям безопасности. Когда ваш код зависит от пакетов с известными уязвимостями, вы становитесь мишенью для злоумышленников, стремящихся использовать вашу систему — потенциально получая доступ к вашему коду, данным, клиентам или участникам. Dependabot alerts Уведомлять вас о уязвимых зависимостях, чтобы вы могли обновиться до защищённых версий и защитить свой проект.
Когда Dependabot отправляет оповещения
Dependabot сканирует стандартную ветку вашего репозитория и отправляет оповещения, когда:
- Новые предупредительные данные синхронизируются с GitHub каждым часом от GitHub.com. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.
- Ваш граф зависимостей меняется — например, когда вы запускаете коммиты, обновляющие пакеты или версии
Для поддерживаемых экосистем см. AUTOTITLE.
Понимание оповещений
При GitHub обнаружении уязвимой зависимости на вкладке «Безопасность» и графике зависимостей, появляется Dependabot оповещение. Каждое предупреждение включает:
- Ссылка на затронутый файл
- Подробности о уязвимости и её серьёзности
- Информация о фиксированной версии (когда доступна)
Для получения информации о просмотре и управлении уведомлениями см. Просмотр и обновление оповещений Dependabot.
Кто может включить оповещения?
Администраторы репозиториев и владельцы организаций могут включать Dependabot alerts свои репозитории. При включении GitHub сразу создаётся граф зависимостей и оповещения о любых уязвимых зависимостях, которые он идентифицирует.
Владельцы предприятия должны включить Dependabot alerts для ваш экземпляр GitHub Enterprise Server, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.
Как работают уведомления о предупреждениях
По умолчанию GitHub отправляет уведомления о новых уведомлениях по электронной почте тем, кто одновременно:
- Имейте права на запись, поддержание или администраторские права на репозиторий
- Следим за репозиторием и включил уведомления о безопасности или о всей активности в репозитории
Независимо от ваших настроек уведомлений, при Dependabot первом включении GitHub уведомления не отправляются по всем уязвимым зависимостям в вашем репозитории. Вместо этого вы будете получать уведомления о новых уязвимых зависимостях, выявленных после Dependabot включения, если ваши настройки уведомления это позволяют.
Если вас беспокоит слишком много уведомлений, мы рекомендуем использовать Правила автообработки зависимостей их для автоматического отклонения оповещений с низким риском. Правила применяются перед отправкой уведомлений оповещений, поэтому оповещения, которые автоматически закрываются при создании, не отправляют уведомления. См . раздел AUTOTITLE.
В качестве альтернативы вы можете включить еженедельный дайджест электронной почты или даже полностью отключить уведомления, оставив Dependabot alerts их включёнными.
Ограничения
Dependabot alerts Есть некоторые ограничения:
-
Оповещения не могут обнаружить все проблемы с безопасностью. Всегда проверяйте свои зависимости и держите манифест и файлы блокировки актуальными для точного обнаружения.
-
Новые уязвимости могут потребовать времени, чтобы появиться в GitHub Advisory Database системе и вызвать оповещения.
-
Только предупреждения, которые проверяются триггерными GitHub оповещениями.
-
Dependabot не сканирует архивные репозитории. -
Dependabot не генерирует оповещения о вредоносном ПО. -
Для GitHub Actions оповещения генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA.
Дополнительные материалы
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) -
[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)