Implementowanie alertów i aktualizacji zabezpieczeń usługi GitHub Dependabot
Alerty
GitHub Dependabot wykrywa zależności podatne na zagrożenia i wysyła alerty Dependabot o nich w kilku sytuacjach:
- Nowa luka w zabezpieczeniach została dodana do bazy doradczej GitHub.
- Przetwarzane są nowe dane dotyczące luk w zabezpieczeniach od Mend.
- Wykres zależności dla zmian w repozytorium.
Alerty są domyślnie wykrywane w repozytoriach publicznych, ale mogą być włączone dla innych repozytoriów.
Powiadomienia można wysyłać za pośrednictwem standardowych mechanizmów powiadomień usługi GitHub.
Aby uzyskać więcej informacji na temat Alertów Dependabot, zobacz O alertach dotyczących podatnych zależności.
Zobacz Obsługiwane ekosystemy pakietów, aby uzyskać szczegółowe informacje na temat dostarczonych pakietów, dla których można wygenerować alerty.
Aby uzyskać szczegółowe informacje na temat powiadomień, zobacz: Konfigurowanie powiadomień.
Aktualizacje zabezpieczeń
Główną zaletą aktualizacji zabezpieczeń Dependabot jest możliwość automatycznego tworzenia żądań ściągnięcia.
Deweloper może następnie przejrzeć sugerowaną aktualizację i zdecydować, co jest wymagane do jej uwzględnienia.
Aby uzyskać więcej informacji na temat automatycznych aktualizacji zabezpieczeń, zobacz About GitHub Dependabot security updates.