实现 GitHub Dependabot 警报和安全更新

  • 2 分钟

警报

GitHub Dependabot 检测到易受攻击的依赖项,并在几种情况下发送有关它们的 Dependabot 警报:

  • 新的漏洞已添加到 GitHub 安全咨询数据库。
  • 处理 Mend 中的新漏洞数据。
  • 存储库的依赖关系图发生变化。

默认情况下,公共存储库中检测到警报,但可以为其他存储库启用警报。

可以通过标准 GitHub 通知机制发送通知。

有关 Dependabot 警报的详细信息,请参阅 有关易受攻击依赖项的警报

有关可以生成警报的所提供包的详细信息,请参阅“支持的包生态系统”。

有关通知详细信息,请参阅:配置通知

安全更新

Dependabot 安全更新的主要优势在于其可以自动创建拉取请求。

然后,开发人员可以查看建议的更新,并确定需要采纳的内容。

有关自动更新的详细信息,请参阅 有关 GitHub Dependabot 安全更新