codecamp

GitHub 查看和更新仓库中有漏洞的依赖项

如果 GitHub 发现项目中存在有漏洞的依赖项,您可以在仓库的 Dependabot 警报选项卡中查看它们。 然后,您可以更新项目以解决或忽略漏洞。

仓库管理员和组织所有者可以查看和更新依赖项。

仓库的 GitHub Dependabot 警报选项卡列出所有打开和关闭的 GitHub Dependabot 警报 以及对应的 GitHub Dependabot 安全更新。 您可以使用下拉菜单对警报列表进行排序,并且可以单击特定警报以获取更多详细信息。 更多信息请参阅“关于易受攻击的依赖项的警报”。

您可以为使用 GitHub Dependabot 警报 和依赖关系图的任何仓库启用自动安全更新。 更多信息请参阅“配置 GitHub Dependabot 安全更新”。

关于仓库中有漏洞的依赖项的更新

当我们检测到影响到您的仓库的漏洞时,GitHub 会发出 GitHub Dependabot 警报。 对于启用了 GitHub Dependabot 安全更新 的仓库,当 GitHub 检测到有漏洞的依赖项时,Dependabot 会创建拉取请求来修复它。 拉取请求会将依赖项升级到避免此漏洞所需的最小可能的安全版本。

注意:最好有适当的自动化测试和验收流程,以便在合并拉取请求之前进行检查。如果要升级到的建议版本包含其他功能,或者所做的更改会破坏项目代码,则这一点尤其重要。有关持续集成的更多信息,请参阅“ 关于持续集成”

查看和更新有漏洞的依赖项

  1. 在 GitHub 上,导航到仓库的主页面。

  1. 在仓库名称下,单击 Security(安全)

Security 选项卡

  1. 在安全性侧栏中,点击 Dependabot alerts

Dependabot alerts tab

  1. 单击您想要查看的警报。

在警报列表中选择的警报

  1. 查看漏洞的详细信息以及包含自动安全更新的拉取请求(如果有)。

  1. (可选)如果还没有针对该警报的 GitHub Dependabot 安全更新 更新,要创建拉取请求以解决该漏洞,请单击 Create Dependabot security update(创建 Dependabot 安全更新)

创建 Dependabot 安全更新按钮

  1. 当您准备好更新依赖项并解决漏洞时,合并拉取请求。 Dependabot 提出的每个拉取请求都包含可用于控制 Dependabot 的命令的相关信息。 更多信息请参阅“管理依赖项更新的拉取请求”。

  1. (可选)如果警报正在修复、不正确或位于未使用的代码中,请使用“Dismiss(忽略)”,然后单击忽略警报的原因。

选择通过

延伸阅读

配置 GitHub Dependabot 安全更新
GitHub 管理组织中漏洞依赖项的警报
温馨提示
下载编程狮App,免费阅读超1000+编程语言教程
取消
确定
目录

GitHub 身份验证

在 GitHub 上管理订阅和通知

在 GitHub 上管理活动的订阅

GitHub 组织和团队

GitHub 管理对组织仓库的 Git 访问

GitHub 计费和付款

GitHub 使用议题和拉取请求进行协作

GitHub 在具有代码质量功能的仓库上进行协作

管理在 GitHub 上的工作

GitHub 建立强大的社区

GitHub 管理仓库

GitHub 自定义 GitHub 工作流程

在 GitHub Marketplace 中购买并安装应用程序

通过 GitHub Jobs 寻找人才

关闭

MIP.setData({ 'pageTheme' : getCookie('pageTheme') || {'day':true, 'night':false}, 'pageFontSize' : getCookie('pageFontSize') || 20 }); MIP.watch('pageTheme', function(newValue){ setCookie('pageTheme', JSON.stringify(newValue)) }); MIP.watch('pageFontSize', function(newValue){ setCookie('pageFontSize', newValue) }); function setCookie(name, value){ var days = 1; var exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + '=' + value + ';expires=' + exp.toUTCString(); } function getCookie(name){ var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); return document.cookie.match(reg) ? JSON.parse(document.cookie.match(reg)[2]) : null; }