Настройка оповещений Dependabot

Включите создание Dependabot alerts при обнаружении новой уязвимой зависимости в одном из репозиториев.

В этой статье

Сведения о Dependabot alerts для уязвимых зависимостей

Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки.

Dependabot сканирует код при добавлении новых рекомендаций в GitHub Advisory Database или графа зависимостей для изменений в репозитории. При обнаружении уязвимых зависимостей создаются Dependabot alerts . Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

Если вы включили Dependabot security updates для репозитория, оповещение также может содержать ссылку на запрос на вытягивание, чтобы обновить манифест или файл блокировки до минимальной версии, которая устраняет уязвимость. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.

Включить или отключить Dependabot alerts можно для:

  • вашей личной учетной записи;
  • вашего репозитория;
  • Ваша организация

Кроме того, можно использовать Правила автообработки зависимостей для управления оповещениями в масштабе, чтобы можно было автоматически закрыть или отклонить оповещения, а также указать, для каких оповещений требуется Dependabot для открытия запросов на вытягивание. Сведения о различных типах правил автоматической сортировки и о том, разрешены ли репозитории, см. в разделе "Сведения о правилах автообработки Dependabot".

Управление Dependabot alerts для личной учетной записи

Можно включить или отключить Dependabot alerts для всех репозиториев, принадлежащих вашей личной учетной записи.

Включение и отключение Dependabot alerts для существующих репозиториев

  1. В правом верхнем углу любой страницы на GitHubщелкните фото профиля, а затем нажмите кнопку "Параметры".
  2. В разделе "Безопасность" боковой панели щелкните Код безопасности и анализа.
  3. В разделе "Безопасность и анализ кода" справа от Dependabot alerts нажмите кнопку Отключить все или Включить все.
  4. При необходимости, чтобы включить Dependabot alerts по умолчанию для новых репозиториев, создаваемых, в диалоговом окне выберите "Включить по умолчанию для новых репозиториев".
  5. Нажмите кнопку Отключить Dependabot alerts или Включить Dependabot alerts, чтобы отключить или включить Dependabot alerts для всех своих репозиториев.

При включении Dependabot alerts для существующих репозиториев вы увидите все результаты в GitHub в течение нескольких минут.

Включение и отключение Dependabot alerts для новых репозиториев

  1. В правом верхнем углу любой страницы на GitHubщелкните фото профиля, а затем нажмите кнопку "Параметры".
  2. В разделе "Безопасность" боковой панели щелкните Код безопасности и анализа.
  3. В разделе "Безопасность и анализ кода" справа от Dependabot alertsвыберите автоматическое включение для новых репозиториев.

Управление Dependabot alerts для своего репозитория

Вы можете управлять Dependabot alerts для общедоступного, частного или внутреннего репозитория.

По умолчанию мы уведомляем людей с разрешениями admin permissions в затронутых репозиториях о новых Dependabot alerts. GitHub никогда публично не раскрывает небезопасные уязвимости ни для какого репозитория. Вы также можете сделать Dependabot alerts видимыми для дополнительных пользователей или команд, работающих над репозиториями, для которых вы владеете или имеют разрешения администратора.

Если включены функции безопасности и анализа, GitHub выполняет анализ только для чтения в репозитории.

Включение и отключение Dependabot alerts для репозитория

  1. На GitHub.comперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

  4. В разделе "Безопасность и анализ кода" справа от пункта "Dependabot alerts" щелкните Включить, чтобы включить оповещения, или Отключить, чтобы отключить их.

Управление Dependabot alerts для организации

Вы можете включить или отключить Dependabot alerts для некоторых или всех репозиториев, принадлежащих вашей организации. Дополнительные сведения о включении функций безопасности в организации см. в разделе "Краткое руководство по защите организации".

Включение и отключение Dependabot alerts для всех существующих репозиториев

Вы можете использовать страницу параметров организации для "Безопасность кода и анализ", чтобы включить Dependabot alerts для всех существующих репозиториев в организации.

  1. В правом верхнем углу GitHubвыберите фото профиля, а затем выберите Ваши организации.
  2. Рядом с организацией щелкните Параметры.
  3. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

Note

Если ваша организация зарегистрирована в общедоступной бета-версии security configurations и global settings общедоступной бета-версии, а не в разделе "Безопасность кода и анализ", появится раскрывающееся меню "Безопасность кода". Выберите Безопасность кода, а затем выберите глобальные параметры. Дальнейшие действия по включению Dependabot alerts и других функций безопасности в масштабе с помощью security configurationsсм. в разделе "Применение рекомендуемой конфигурации безопасности GitHub в организации".

  1. В разделе "Безопасность и анализ кода" справа от Dependabot alerts нажмите кнопку Отключить все или Включить все.
  2. При необходимости, чтобы включить Dependabot alerts по умолчанию для новых репозиториев в организации, в диалоговом окне выберите "Включить по умолчанию для новых репозиториев".
  3. Нажмите кнопку Отключить Dependabot alerts или ВключитьDependabot alerts, чтобы отключить или включить Dependabot alerts для всех своих репозиториев.