关于易受攻击的依赖项的 Dependabot alerts
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。
当新的公告添加到 GitHub Advisory Database 或存储库的依赖项关系图发生更改时,Dependabot 会扫描代码。 当检测到易受攻击的依赖项时,会生成 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。
如果已启用存储库的 Dependabot security updates,警报中还会包含一个拉取请求链接,用于将清单或锁定文件更新到可解决该漏洞的最低版本。 有关详细信息,请参阅“关于 Dependabot 安全更新”。
可以为以下项启用或禁用 Dependabot alerts:
- 你的个人帐户
- 你的存储库
- 你的组织
- 你的企业
为个人帐户管理 Dependabot alerts
存储库的 Dependabot alerts 可由企业所有者启用或禁用。 有关详细信息,请参阅“为企业启用 Dependabot”。
为存储库管理 Dependabot alerts
可以为公共、私有或内部存储库管理 Dependabot alerts。
默认情况下,我们会向受影响存储库中具有写入、维护或管理权限的人员通知有关新的 Dependabot alerts。 GitHub Enterprise Server 从不公开披露任何存储库的不安全依赖项。 你也可以将 Dependabot alerts 设为对操作你拥有的或具有管理员权限的存储库的其他人或团队可见。
需要先由一个你企业的企业所有者为你的企业设置 Dependabot,然后你才能管理你的存储库的 Dependabot alerts。 有关详细信息,请参阅“为企业启用 Dependabot”。
为存储库启用或禁用 Dependabot alerts
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全和分析”下,在 Dependabot alerts 的右侧,单击“启用”以启用警报或“禁用”以禁用警报 。
为组织管理 Dependabot alerts
您可以为组织拥有的所有公共仓库启用或禁用部分或全部 Dependabot alerts。 有关在组织中启用安全功能的详细信息,请参阅 “保护组织快速入门”。
需要先由一个你企业的企业所有者为你的企业设置 Dependabot,然后你才能管理你的存储库的 Dependabot alerts。 有关详细信息,请参阅“为企业启用 Dependabot”。
为所有现有存储库启用或禁用 Dependabot alerts
可以使用安全概述来查找一组存储库,并同时为它们启用或禁用 Dependabot alerts。 有关详细信息,请参阅“为多个存储库启用安全功能”。
还可以使用“代码安全性和分析”的组织设置页,为组织中的所有现有存储库启用或禁用 Dependabot alerts。
- 在 GitHub 的右上角,选择个人资料照片,然后单击“你的组织”。
- 在组织旁边,单击“设置”。
- 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
- 在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
- (可选)若要默认为组织中的新存储库启用 Dependabot alerts,请在对话框中选择“默认为新存储库启用”。
- 单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你组织内的所有存储库禁用或启用 Dependabot alerts。
为企业管理 Dependabot alerts
可以在企业中为组织拥有的所有现有和未来的存储库启用或禁用 Dependabot alerts。 更改会影响所有存储库。
-
在 GitHub Enterprise Server 的右上角,单击你的个人资料照片,然后单击“企业设置”****。
-
在页面左侧的企业帐户边栏中,单击 “设置”。
-
在左侧边栏中,单击“代码安全性和分析”。
-
在“Dependabot”部分的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
-
(可选)选择“自动为新存储库启用”,默认为组织的新存储库启用 Dependabot alerts。