软件通常依赖于来自各种源的包,从而创建一个依赖项关系,这些依赖关系可能无意中引入安全漏洞。 当代码依赖于具有已知安全漏洞的包时,你将成为攻击者试图利用系统的目标,从而可能获取对代码、数据、客户或参与者的访问权限。 Dependabot alerts 通知你易受攻击的依赖项,以便你可以升级到安全版本并保护项目。
当Dependabot发送警报时
Dependabot 扫描您的存储库默认分支,当出现以下情况时发送警报:
- 新的咨询数据从GitHub.com每小时同步到GitHub。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。
- 当你推送提交以更新包或版本时,你的依赖项图将发生更改。
有关支持的生态系统,请参阅 依赖项关系图支持的包生态系统。
了解警报
检测到易受攻击的依赖项时GitHub,存储库Dependabot选项卡和依赖项关系图上会显示警报****。 每个警报包括:
- 指向受影响文件的链接
- 有关漏洞及其严重性的详细信息
- 有关固定版本的信息(如果可用)
有关查看和管理警报的信息,请参阅 查看和更新 Dependabot 警报。
谁可以启用警报?
存储库管理员和组织所有者可以为其存储库Dependabot alerts和组织。 启用后, GitHub 立即生成依赖项关系图,并为它标识的任何易受攻击的依赖项创建警报。
企业所有者必须对你的 GitHub Enterprise Server 实例启用Dependabot alerts,然后才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。
请参阅“配置 Dependabot 警报”。
警报通知的工作原理
默认情况下, GitHub 向两者发送有关新警报的电子邮件通知:
- 对存储库具有写入、维护或管理员权限
- 正在监视存储库,并为安全警报或存储库上的所有活动启用通知
无论通知首选项如何,首次启用时 Dependabot , GitHub 都不会为存储库中找到的所有易受攻击的依赖项发送通知。 如果通知首选项允许的话,启用 Dependabot 后,您会收到有关新识别的易受攻击依赖项的通知。
如果担心收到过多通知,建议利用 Dependabot 自动分类规则 自动消除低风险警报。 规则在发送警报通知之前应用,因此在创建时自动消除的警报不会发送通知。 请参阅“关于 Dependabot 自动分类规则”。
您还可以选择订阅每周电子邮件摘要,或者完全关闭通知,保持 Dependabot alerts 启用状态。
局限性
Dependabot alerts 存在一些限制:
-
警报无法检测每个安全问题。 始终查看依赖项,并保持清单和锁定文件的最新状态,以便进行准确的检测。
-
新的漏洞可能需要一段时间才会出现在 GitHub Advisory Database 中,并触发警报。
-
只有经过GitHub审查的公告会触发警报。
-
Dependabot 不会扫描存档的存储库。 -
Dependabot 不会为恶意软件生成警报。 -
对于 GitHub Actions,系统仅针对使用语义版本控制(而不是 SHA 版本控制)的操作生成警报。
延伸阅读
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) -
[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)