关于易受攻击的依赖项
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。
当代码依赖于具有安全漏洞的包时,这种易受攻击的依赖项可能会导致项目或使用它的人遇到一系列问题。
有漏洞依赖项的检测
Dependabot 在以下情况下检测有漏洞的依赖项并发送 Dependabot 警报:
-
新公告数据每小时从 GitHub.com 同步到 GitHub Enterprise Server。 有关公告数据的更多信息,请参阅“浏览 GitHub Advisory Database 中的安全漏洞”。
-
仓库的依赖关系图发生更改。 例如,当贡献者推送提交以更改其所依赖的包或版本时。 更多信息请参阅“关于依赖关系图”。
有关 GitHub Enterprise Server 可以检测到漏洞和依赖项的生态系统列表,请参阅“支持的包生态系统”。
注:保持清单和锁定文件为最新状态非常重要。 如果依赖关系图不能准确反映您当前的依赖项和版本,则可能错过有关您使用的有漏洞依赖项的警报。 您还可以收到不再使用的依赖项的警报。
有漏洞依赖项的 Dependabot 警报
您的站点管理员必须启用 Dependabot alerts for vulnerable dependencies for 您的 GitHub Enterprise Server 实例 before you can use this feature. 更多信息请参阅“为 GitHub Enterprise Server 上易受攻击的依赖项启用安全警报”。
当 GitHub Enterprise Server 发现易受攻击的依赖项时,我们会生成 Dependabot 警报,并显示在仓库的 Security(安全)选项卡上。 该警报包括指向项目中受影响的文件的链接,以及有关修复的版本的信息。 GitHub Enterprise Server 还根据受影响仓库的管理员的通知首选项向他们通知新的警报。 更多信息请参阅“为易受攻击的依赖项配置通知”。
注:GitHub Enterprise Server 的安全功能并不要求捕获所有漏洞。 虽然我们一直在努力更新漏洞数据库,生成包含最新信息的警报,但我们无法捕获一切或在保证的时间范围内向您警示已知的漏洞。 这些功能不是要替代人工检查每个依赖项的潜在漏洞或任何其他问题,并且我们建议在必要时咨询安全服务或全面检查漏洞。
访问 Dependabot警报
您可以在仓库的依赖关系图中看到影响特定项目的所有警报。
默认情况下,我们会向受影响仓库中具有管理员权限的人员通知有关新的 Dependabot 警报。
您可以选择 您关注的仓库中Dependabot 警报通知的递送方式,以及您接收通知的频率。 更多信息请参阅“配置漏洞依赖项的通知”。