存储库的 Dependabot alerts 选项卡列出了所有已打开和已关闭的 Dependabot alerts 及其对应的 Dependabot security updates。 可以按包、生态系统或清单筛选警报。 还可以对警报列表进行排序,单击特定警报以获取更多详细信息。 还可以逐个关闭或重新打开警报,也可以一次选择多个警报。 有关详细信息,请参阅“关于 Dependabot 警报”。
关于仓库中有漏洞的依赖项的更新
每个 Dependabot 警报都有唯一的数字标识符, Dependabot alerts 选项卡列出了每个检测到的漏洞的警报。 旧 Dependabot alerts 版按依赖项分组的漏洞,并为每个依赖项生成单个警报。 如果导航到旧版 Dependabot 警报,则会重定向到专门针对该包进行筛选的 Dependabot alerts 选项卡。
可以使用用户界面上可用的各种筛选器和排序选项进行筛选和 Dependabot alerts 排序。 有关详细信息,请参阅下面的 查看和设定优先级 Dependabot alerts 。
还可以审核在响应 Dependabot 警报时执行的操作。 有关详细信息,请参阅“审核安全警报”。
查看和确定优先级 Dependabot alerts
可以查看、排序和筛选 Dependabot alerts ,以专注于最重要的警报。
默认情况下,警报按 最重要的是排序,这有助于根据潜在影响、可作性和相关性等因素确定修复的优先级。 此优先级不断改进,并考虑 CVSS 分数、依赖项范围等信号,以及是否检测到易受攻击的函数调用。
你可以在存储库的 Dependabot alerts 选项卡中查看所有打开和关闭的 Dependabot alerts 以及对应的 Dependabot security updates。
-
在 GitHub 上,导航到存储库的主页面。
-
在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
-
在边栏的“查找”部分中,选择 Dependabot 下拉菜单,然后单击“ 漏洞”。
-
(可选)优化警报列表:
-
使用列表顶部的下拉菜单对警报进行排序或筛选。
-
直接在搜索栏中键入以筛选告警,并支持对告警详情和相关安全公告进行全文搜索。
-
单击警报上的标签,按该标签自动筛选列表。
-
若要识别影响开发依赖项的
scope:development警报,请根据筛选器进行筛选,或查找标记为“开发”的警报。 这有助于确定首先影响生产依赖项的警报的优先级。
-
-
单击警报以查看其详细信息。 针对开发环境依赖项的警报在警报详细信息页的“标签”部分中包含“开发”标签。
-
在右侧面板中,使用 “被分配者 ”下拉列表选择一个被分配者。 你可以将警报分配给用户或团队以建立明确的所有权,或将其分配给 Copilot 自动生成修补程序。 这清楚地传达了谁负责对警报进行分类,并帮助避免重复分析。 它还可确保不会错过警报。
-
(可选)若要建议改进相关安全公告,请在警报详细信息页面右侧单击“建议对此公告GitHub Advisory Database的改进”。 请参阅“在 GitHub Advisory Database 中编辑安全公告”。
用于确定警报优先级的提示
- 使用 最重要的 排序顺序将注意力集中在具有最高潜在影响的警报上。
- 确定影响生产依赖项的警报优先于开发依赖项。
- 使用 “分配者 ”功能阐明负责处理每个警报的人员,以便团队可以更有效地跟踪和修正漏洞。
- 使用 Dependabot 自动分类规则 自动优先处理或管理警报。 请参阅“关于 Dependabot 自动分类规则”。
有关依赖项范围支持的生态系统和清单文件的详细信息,请参阅 依赖项范围的受支持生态系统和清单。
有关可用筛选器的完整列表,请参阅 Dependabot 警报筛选器。
若要以编程方式检索警报,请参阅 适用于 Dependabot alerts 的 REST API 终结点。
查看和修复警报
通过GitHub Copilot Enterprise许可,您还可以请求GitHub Copilot 聊天的帮助,以更好地了解您组织中的Dependabot alerts存储库。 有关详细信息,请参阅“在GitHub中提问关于GitHub Copilot的问题”。
可以查看警报的详细信息 Dependabot ,以了解漏洞及其修复方法。
修复易受攻击的依赖项
-
查看警报的详细信息。 有关详细信息,请参阅 “查看和优先级 Dependabot alerts ”(上图)。
-
如果 Dependabot security updates 已启用,则可能存在用于修复依赖项的拉取请求的链接。 或者,可以单击警报详细信息页顶部的“ 创建 Dependabot 安全更新 ”以创建拉取请求。
-
(可选)如果不使用 Dependabot security updates,可以使用页面上的信息来确定要升级到哪个版本的依赖项,并创建拉取请求以将依赖项更新到安全版本。
-
当您准备好更新依赖项并解决漏洞时,合并拉取请求。
每个由 Dependabot 提出的拉取请求都包含关于可用于控制 Dependabot 的命令的信息。 有关详细信息,请参阅“管理依赖项更新的所有拉取请求”。
解雇 Dependabot alerts
注意
你只能消除打开的警报。
如果你安排大量工作来升级依赖项,或者决定不需要修复警报,则可以消除警报。 消除已评估的警报可以更轻松地在新警报出现时对其进行会审。
-
[查看和确定优先级 Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (上图)。 -
选择“消除”下拉列表,然后单击消除警报的原因。 之后可以重新打开未修复且已消除的警报。
-
(可选)添加消除注释。 消除操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可使用 GraphQL API 检索或设置注释。 注释包含在
dismissComment字段中。 有关详细信息,请参阅 GraphQL API 文档中的“对象”。
-
单击“消除警报”。****
一次忽略多个警报
-
查看打开 Dependabot alerts的 。
-
(可选)通过选择下拉菜单筛选警报列表,然后单击要应用的筛选器。 您还可以在搜索栏中键入过滤条件。
-
在每个警报标题的左侧,选择要消除的警报。
 -
(可选)在警报列表顶部,选择页面上的所有警报。
 -
选择“消除警报”下拉列表,然后单击消除警报的原因。
查看和更新已关闭的警报
可以查看所有打开的警报,并且可以重新打开之前消除的警报。 已修复的已关闭警报无法重新打开。
-
在 GitHub 上,导航到存储库的主页面。
-
在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
-
在边栏的“查找”部分中,选择 Dependabot 下拉菜单,然后单击“ 漏洞”。
-
若要仅查看已关闭的警报,请单击“已关闭”。****
-
单击要查看或更新的警报。
-
(可选)如果警报已关闭,并且想要重新打开警报,请单击“重新打开”。**** 已修复的警报无法重新打开。
一次重新打开多个警报
-
查看已关闭的 Dependabot alerts。
-
在每个警报标题的左侧,选择要重新打开的警报,方法是单击每个警报旁边的复选框。
-
(可选)在警报列表顶部,选择页面上的所有已关闭的警报。
 -
单击“重新打开”以重新打开警报。**** 已修复的警报无法重新打开。
查看 Dependabot alerts 的审核日志
当组织 或企业 的成员执行相关 Dependabot alerts操作时,可以查看审核日志中的操作。 有关访问日志的详细信息,请参阅 查看贵组织的审核日志 和 访问企业的审核日志。
审核日志 Dependabot alerts 中的事件包括详细信息,例如执行操作的人员、操作是什么以及执行操作时间。 该事件还包括指向警报本身的链接。 当组织成员消除警报时,事件会显示消除原因和注释。 要了解关于Dependabot alerts操作的信息,请参阅repository_vulnerability_alert在组织的审核日志事件和企业的审核日志事件中的类别。