注意
站点管理员必须先为 你的 GitHub Enterprise Server 实例设置 Dependabot updates,然后你才能使用此功能。 有关详细信息,请参阅 为企业启用 Dependabot.
如果企业所有者在企业级别设置了策略,你可能无法启用或禁用 Dependabot updates。 有关详细信息,请参阅“强制实施企业的代码安全性和分析策略”。
存储库的 Dependabot alerts 选项卡列出了所有已打开和已关闭的 Dependabot alerts 及其对应的 Dependabot security updates。 可以按包、生态系统或清单筛选警报。 还可以对警报列表进行排序,单击特定警报以获取更多详细信息。 还可以逐个关闭或重新打开警报,也可以一次选择多个警报。 有关详细信息,请参阅“关于 Dependabot 警报”。
关于仓库中有漏洞的依赖项的更新
每个 Dependabot 警报都有唯一的数字标识符, Dependabot alerts 选项卡列出了每个检测到的漏洞的警报。 旧 Dependabot alerts 版按依赖项分组的漏洞,并为每个依赖项生成单个警报。 如果导航到旧版 Dependabot 警报,则会重定向到专门针对该包进行筛选的 Dependabot alerts 选项卡。
可以使用用户界面上可用的各种筛选器和排序选项进行筛选和 Dependabot alerts 排序。 有关详细信息,请参阅下面的 查看和设定优先级 Dependabot alerts 。
还可以审核在响应 Dependabot 警报时执行的操作。 有关详细信息,请参阅“审核安全警报”。
查看和确定优先级 Dependabot alerts
可以查看、排序和筛选 Dependabot alerts ,以专注于最重要的警报。
默认情况下,警报按 最重要的是排序,这有助于根据潜在影响、可作性和相关性等因素确定修复的优先级。 此优先级不断改进,并考虑 CVSS 分数、依赖项范围等信号,以及是否检测到易受攻击的函数调用。
你可以在存储库的 Dependabot alerts 选项卡中查看所有打开和关闭的 Dependabot alerts 以及对应的 Dependabot security updates。
-
在 GitHub 上,导航到存储库的主页面。
-
在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
-
在安全概述的“漏洞警报”边栏中,单击 Dependabot。 如果缺少此选项,则表示你无权访问安全警报,需要被授予访问权限。 有关详细信息,请参阅“管理存储库的安全和分析设置”。
 -
(可选)优化警报列表:
-
使用列表顶部的下拉菜单对警报进行排序或筛选。
-
直接在搜索栏中键入以筛选告警,并支持对告警详情和相关安全公告进行全文搜索。
-
单击警报上的标签,按该标签自动筛选列表。
-
若要识别影响开发依赖项的
scope:development警报,请根据筛选器进行筛选,或查找标记为“开发”的警报。 这有助于确定首先影响生产依赖项的警报的优先级。
-
-
单击警报以查看其详细信息。 针对开发环境依赖项的警报在警报详细信息页的“标签”部分中包含“开发”标签。
-
(可选)若要建议改进相关安全公告,请在警报详细信息页面右侧单击“建议对此公告GitHub Advisory Database的改进”。 请参阅“在 GitHub Advisory Database 中编辑安全公告”。
用于确定警报优先级的提示
- 使用 最重要的 排序顺序将注意力集中在具有最高潜在影响的警报上。
- 确定影响生产依赖项的警报优先于开发依赖项。
- 使用 Dependabot 自动分类规则 自动优先处理或管理警报。 请参阅“关于 Dependabot 自动分类规则”。
有关依赖项范围支持的生态系统和清单文件的详细信息,请参阅 依赖项范围的受支持生态系统和清单。
有关可用筛选器的完整列表,请参阅 Dependabot 警报筛选器。
若要以编程方式检索警报,请参阅 适用于 Dependabot alerts 的 REST API 终结点。
查看和修复警报
可以查看警报的详细信息 Dependabot ,以了解漏洞及其修复方法。
修复易受攻击的依赖项
-
查看警报的详细信息。 有关详细信息,请参阅 “查看和优先级 Dependabot alerts ”(上图)。
-
如果 Dependabot security updates 已启用,则可能存在用于修复依赖项的拉取请求的链接。 或者,可以单击警报详细信息页顶部的“ 创建 Dependabot 安全更新 ”以创建拉取请求。
-
(可选)如果不使用 Dependabot security updates,可以使用页面上的信息来确定要升级到哪个版本的依赖项,并创建拉取请求以将依赖项更新到安全版本。
-
当您准备好更新依赖项并解决漏洞时,合并拉取请求。
每个由 Dependabot 提出的拉取请求都包含关于可用于控制 Dependabot 的命令的信息。 有关详细信息,请参阅“管理依赖项更新的所有拉取请求”。
解雇 Dependabot alerts
注意
你只能消除打开的警报。
如果你安排大量工作来升级依赖项,或者决定不需要修复警报,则可以消除警报。 消除已评估的警报可以更轻松地在新警报出现时对其进行会审。
-
[查看和确定优先级 Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (上图)。 -
选择“消除”下拉列表,然后单击消除警报的原因。 之后可以重新打开未修复且已消除的警报。
-
(可选)添加消除注释。 消除操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可使用 GraphQL API 检索或设置注释。 注释包含在
dismissComment字段中。 有关详细信息,请参阅 GraphQL API 文档中的“对象”。
-
单击“消除警报”。****
一次忽略多个警报
-
查看打开 Dependabot alerts的 。
-
(可选)通过选择下拉菜单筛选警报列表,然后单击要应用的筛选器。 您还可以在搜索栏中键入过滤条件。
-
在每个警报标题的左侧,选择要消除的警报。
 -
(可选)在警报列表顶部,选择页面上的所有警报。
 -
选择“消除警报”下拉列表,然后单击消除警报的原因。
查看和更新已关闭的警报
可以查看所有打开的警报,并且可以重新打开之前消除的警报。 已修复的已关闭警报无法重新打开。
-
在 GitHub 上,导航到存储库的主页面。
-
在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
-
在安全概述的“漏洞警报”边栏中,单击 Dependabot。 如果缺少此选项,则表示你无权访问安全警报,需要被授予访问权限。 有关详细信息,请参阅“管理存储库的安全和分析设置”。
 -
若要仅查看已关闭的警报,请单击“已关闭”。****
-
单击要查看或更新的警报。
-
(可选)如果警报已关闭,并且想要重新打开警报,请单击“重新打开”。**** 已修复的警报无法重新打开。
一次重新打开多个警报
-
查看已关闭的 Dependabot alerts。
-
在每个警报标题的左侧,选择要重新打开的警报,方法是单击每个警报旁边的复选框。
-
(可选)在警报列表顶部,选择页面上的所有已关闭的警报。
 -
单击“重新打开”以重新打开警报。**** 已修复的警报无法重新打开。
查看 Dependabot alerts 的审核日志
当组织 或企业 的成员执行相关 Dependabot alerts操作时,可以查看审核日志中的操作。 有关访问日志的详细信息,请参阅 查看贵组织的审核日志 和 访问企业的审核日志。
审核日志 Dependabot alerts 中的事件包括详细信息,例如执行操作的人员、操作是什么以及执行操作时间。 该事件还包括指向警报本身的链接。 当组织成员消除警报时,事件会显示消除原因和注释。 要了解关于Dependabot alerts操作的信息,请参阅repository_vulnerability_alert在组织的审核日志事件和企业的审核日志事件中的类别。