Implementare gli avvisi e gli aggiornamenti della sicurezza di GitHub Dependabot
Avvisi
GitHub Dependabot rileva dipendenze vulnerabili e invia avvisi Dependabot in merito a diverse situazioni:
- Viene aggiunta una nuova vulnerabilità al database di GitHub Advisory.
- Vengono elaborati nuovi dati sulle vulnerabilità da Mend.
- Vengono apportate modifiche al grafo delle dipendenze per un repository.
Gli avvisi vengono rilevati nei repository pubblici per impostazione predefinita, ma possono essere abilitati per altri repository.
Le notifiche possono essere inviate tramite meccanismi standard di notifica GitHub.
Per altre informazioni sugli avvisi Dependabot, vedere About alerts for vulnerable dependencies (Informazioni sugli avvisi per le dipendenze vulnerabili).
Per informazioni dettagliate sui pacchetti forniti da cui possono essere generati avvisi, vedere Ecosistemi di pacchetti supportati.
Per informazioni dettagliate sulle notifiche, vedere Configuring notifications (Configurazione delle notifiche).
Aggiornamenti della sicurezza
Un vantaggio fondamentale degli aggiornamenti della sicurezza di Dependabot è che possono creare automaticamente le richieste pull.
Uno sviluppatore può quindi esaminare l'aggiornamento suggerito e valutare che cosa è necessario per incorporarlo.
Per altre informazioni sugli aggiornamenti automatici della sicurezza, vedere About GitHub Dependabot security updates (Informazioni sugli aggiornamenti della sicurezza di GitHub Dependabot).