关于针对易受攻击依赖项和恶意软件的 Dependabot alerts
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。
当新的公告添加到 GitHub Advisory Database 或存储库的依赖项关系图发生更改时,Dependabot 会扫描代码。 当检测到易受攻击的依赖项或恶意软件时,会生成 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。
如果已启用存储库的 Dependabot security updates,警报中还会包含一个拉取请求链接,用于将清单或锁定文件更新到可解决该漏洞的最低版本。 有关详细信息,请参阅“关于 Dependabot 安全更新”。
可以为以下项启用或禁用 Dependabot alerts:
- 你的个人帐户
- 你的存储库
- 你的组织
为个人帐户管理 Dependabot alerts
可以为你的个人帐户拥有的所有存储库启用或禁用 Dependabot alerts。
为现有存储库启用或禁用 Dependabot alerts
-
在任何页面的右上角,单击个人资料照片,然后单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
-
(可选)若要默认为创建的新存储库启用 Dependabot alerts,请在对话框中选择“默认为新存储库启用”。
-
单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你拥有的所有存储库禁用或启用 Dependabot alerts。
为现有存储库启用 Dependabot alerts 时,将在几分钟内看到 GitHub 上显示的任何结果。
为新存储库启用或禁用 Dependabot alerts
-
在任何页面的右上角,单击个人资料照片,然后单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全和分析”下的 Dependabot alerts 右侧,选择“自动为新存储库启用”。
为存储库管理 Dependabot alerts
可以为公共、私有或内部存储库管理 Dependabot alerts。
默认情况下,我们会向受影响存储库中具有写入、维护或管理员权限的人员发出有关新 Dependabot alerts 的通知。 GitHub 从不公开披露任何存储库的不安全依赖项。 你也可以将 Dependabot alerts 设为对操作你拥有的或具有管理员权限的存储库的其他人或团队可见。
如果启用了安全和分析功能,GitHub 将对存储库执行只读分析。
为存储库启用或禁用 Dependabot alerts
-
在 GitHub.com 上,导航到存储库的主页。
-
在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全和分析”下,在 Dependabot alerts 的右侧,单击“启用”以启用警报或“禁用”以禁用警报 。
为组织管理 Dependabot alerts
可以为组织拥有的部分或所有存储库启用或禁用 Dependabot alerts。 有关在整个组织中启用安全功能的详细信息,请参阅“保护你的组织”。
为所有现有存储库启用或禁用 Dependabot alerts
可以使用“代码安全性和分析”的组织设置页,为组织中的所有现有存储库启用 Dependabot alerts。
-
在 GitHub.com 的右上角,选择个人资料照片,然后单击 “你的组织”****。
-
在组织旁边,单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全性和分析”下的 Dependabot alerts 右侧,单击“全部禁用”或“全部启用”。
-
(可选)若要默认为组织中的新存储库启用 Dependabot alerts,请在对话框中选择“默认为新存储库启用”。
-
单击“禁用 Dependabot alerts”或“启用 Dependabot alerts”为你组织内的所有存储库禁用或启用 Dependabot alerts。