关于 GitHub Dependabot 安全更新
您可以为任何使用安全警报和依赖关系图的仓库启用 GitHub Dependabot 安全更新。 您可以对个别仓库或所有由您的用户帐户或组织拥有的仓库禁用 GitHub Dependabot 安全更新。
收到有关仓库中有漏洞的依赖项的安全警报时,您可以使用 GitHub Dependabot 生成的拉取请求中的安全更新来解决漏洞。 安全更新可用于使用依赖关系图的仓库。 默认情况下,GitHub Dependabot 会自动在您的仓库中创建拉取请求,以将易受攻击的依赖项升级到避免漏洞所需的最低安全版本。 如果您愿意,可以禁用自动拉取请求,只在需要时选择手动创建拉取请求以升级依赖项。
安全更新包含快速安全地审查并将提议的修复合并到项目中所需的一切,包括有关漏洞的信息,如版本说明、更改日志条目和提交详细信息。
安全更新由 GitHub Dependabot 打开。 GitHub Dependabot GitHub 应用程序 会自动安装在每个启用了安全更新的仓库中。
有权访问仓库安全警报的人可以看到指向相关安全警报的链接,但有权访问拉取请求的其他人无法看到拉取请求要解决的漏洞。
当您合并包含安全更新的拉取请求时,仓库的相应安全警报将被标记为已解决。
注: GitHub Dependabot 安全更新 仅解决依赖项中的安全漏洞。 安全更新创建的目标不是解决托管在私有仓库中的私有注册表或包中的漏洞。
支持的仓库
GitHub 自动为符合这些要求的每个仓库启用 GitHub Dependabot 安全更新。
注:对于 2019 年 11 月之前创建的仓库,如果仓库满足以下条件,并且自 2019 年 5 月 23 日以来至少收到过一次推送,GitHub 已自动启用 GitHub Dependabot 安全更新。
| 要求 | 更多信息 |
|---|---|
| 存储库不是复刻 | "关于复刻" |
| 仓库未存档 | "存档仓库" |
| 仓库是公共的,或者仓库是私有的但您在仓库的设置中启用了 GitHub 只读分析、依赖关系图和漏洞警报。 | "选择加入私有仓库的数据使用" |
| 仓库包含软件包生态系统中 GitHub 支持的依赖项清单文件 | "支持的软件包生态系统" |
| GitHub Dependabot 安全更新 未对仓库禁用 | "管理仓库的 GitHub Dependabot 安全更新" |
| 仓库尚未使用集成进行依赖项管理 | “关于集成” |
如果未为仓库启用安全更新,而您不知道原因,您可以 联系支持。
关于兼容性分数
GitHub Dependabot 安全更新 还包括兼容性分数,以便您了解更新漏洞是否可能导致对项目的重大更改。 我们从已生成特定安全更新的公共仓库中查看此前通过的 CI 测试,以了解更新是否会导致测试失败。 更新的兼容性分数是在依赖项的相关版本之间进行更新时,CI 运行被视为通过的百分比。
管理仓库的 GitHub Dependabot 安全更新
您可以对单个仓库启用或禁用 GitHub Dependabot 安全更新。
GitHub Dependabot 安全更新 需要特定的仓库设置。 更多信息请参阅“支持的仓库”。
- 在 GitHub 上,导航到仓库的主页面。
- 在仓库名称下,单击 Security(安全)。
- 在安全边栏中,单击 Dependabot alerts(Dependabot 警报)。
- 在警报列表的上方,使用下拉菜单并选择或取消选择 Dependabot security updates(Dependabot 安全更新)。
管理用户帐户的 GitHub Dependabot 安全更新
您可以对您的用户帐户拥有的所有仓库禁用 GitHub Dependabot 安全更新。 如果这样做,您仍然可以对您的用户帐户拥有的个别仓库启用 GitHub Dependabot 安全更新。
- 在任何页面的右上角,单击您的个人资料照片,然后单击 Settings(设置)。
- 在用户设置侧边栏中,单击 Security(安全)。
管理组织的 GitHub Dependabot 安全更新
组织所有者可以对组织拥有的所有仓库禁用 GitHub Dependabot 安全更新。 如果这样做,对组织拥有的个别仓库具有管理员权限的任何人都可以对该仓库启用 GitHub Dependabot 安全更新。
- 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)。
- 在您的个人资料页面左侧的“Organizations(组织)”下,单击组织的图标。
- 在组织名称下,单击 Settings(设置)。
- 在组织设置侧边栏中,单击 Security(安全)。
