关于易受攻击的依赖项的 Dependabot alerts
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。
当新的公告添加到 GitHub Advisory Database 或存储库的依赖项关系图发生更改时,Dependabot 会扫描代码。 当检测到易受攻击的依赖项时,会生成 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。
如果已启用存储库的 Dependabot security updates,警报中还会包含一个拉取请求链接,用于将清单或锁定文件更新到可解决该漏洞的最低版本。 有关详细信息,请参阅“关于 Dependabot 安全更新”。
可以为以下项启用或禁用 Dependabot alerts:
- 你的个人帐户
- 你的存储库
- 你的组织
为个人帐户管理 Dependabot alerts
可以为你的个人帐户拥有的所有存储库启用或禁用 Dependabot alerts。
为现有存储库启用或禁用 Dependabot alerts
- 在 GitHub 任意页面的右上角,单击个人资料照片,然后单击 “设置”****。
- 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
- 在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
- (可选)若要默认为创建的新存储库启用 Dependabot alerts,请在对话框中选择“默认为新存储库启用”。
- 单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你拥有的所有存储库禁用或启用 Dependabot alerts。
为现有存储库启用 Dependabot alerts 时,将在几分钟内看到 GitHub 上显示的任何结果。
为新存储库启用或禁用 Dependabot alerts
- 在 GitHub 任意页面的右上角,单击个人资料照片,然后单击 “设置”****。
- 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
- 在“代码安全和分析”下的 Dependabot alerts 右侧,选择“自动为新存储库启用”。
为存储库管理 Dependabot alerts
可以为公共、私有或内部存储库管理 Dependabot alerts。
默认情况下,我们会向受影响存储库中具有写入、维护或管理权限的人员通知有关新的 Dependabot alerts。 GitHub 从不公开披露任何存储库的不安全依赖项。 你也可以将 Dependabot alerts 设为对操作你拥有的或具有管理员权限的存储库的其他人或团队可见。
如果启用了安全和分析功能,GitHub 将对存储库执行只读分析。
为存储库启用或禁用 Dependabot alerts
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全和分析”下,在 Dependabot alerts 的右侧,单击“启用”以启用警报或“禁用”以禁用警报 。
为组织管理 Dependabot alerts
可以为组织中所有符合条件的存储库启用 Dependabot alerts。 有关详细信息,请参阅“在组织中应用 GitHub 建议的安全配置”。