仓库的 Dependabot 警报 选项卡列出所有打开和关闭的 Dependabot 警报。 可以 对警报列表进行排序,单击特定警报以获取更多详细信息。 您还可以关闭或重新打开警报。 更多信息请参阅“关于 Dependabot 警报”。
查看 Dependabot 警报
- 在 您的 GitHub Enterprise Server 实例 上,导航到仓库的主页面。
- 在仓库名称下,单击 Security(安全)。
- 在安全侧边� �中,单击 Dependabot 警报。 如果缺少此选项,则表示� � 权访问安全警报,需要被授予访问权限。 更多信息请参阅“管理存储库的安全和分析设置”。
- 单击您想要查看的警报。
查看和修复警报
请务必确保所有依赖项都没有任何安全漏洞。 当 Dependabot 发现依赖项中的漏洞时,应评估项目的暴露水平,并确定要采取哪些补救措施来保护应用程序。
如果依赖项有修补的版本可用,则可以生成 Dependabot 请求,以直接从 Dependabot 警报更新此依赖项。 如果您启用了 Dependabot 安全更新,则拉取请求可能会在 Dependabot 警报中链接。
如果修补的版本不可用,或者您� 法更新到安全版本,Dependabot 会共享其他信息,以帮助您确定后续步骤。 单击以查看 Dependabot 警报时,可以看到依赖项的安全通告的完整详细信息,包括受影响的功能。 然后,可以检查代� �是否调用受影响的函数。 此信息可以帮助您进一步评估风险级别,并确定解决方法或是否能够接受安全公告所代表的风险。
修复有漏洞的依赖项
-
查看警报的详细信息。 更多信息请参阅“查看 Dependabot 警报”(上文)。
-
可以使用页面上的信息来决定要升级到的依赖项版本,并创建对清单的拉取请求或将文件锁定到安全版本。
-
当您准备好更新依赖项并解决漏洞时,合并拉取请求。
忽略 Dependabot 警报
提示: 您只能关闭打开的警报。
如果计划大量工作来升级依赖项,或者决定不需要修复警报,则可以忽略警报。 通过忽略已评估的警报,可以更轻松地在新警报出现时对其进行分类。
- 查看警报的详细信息。 更多信息请参阅“查看有漏洞的依赖项”(上文)。
- 选择“Dismiss(忽略)”下拉列表,然后单击忽略警报的原� 。