实现 GitHub Dependabot 警报和安全更新
警报
GitHub Dependabot 检测到易受攻击的依赖项,并在几种情况下发送有关它们的 Dependabot 警报:
- 新的漏洞已添加到 GitHub 安全咨询数据库。
- 处理 Mend 中的新漏洞数据。
- 存储库的依赖关系图发生变化。
默认情况下,公共存储库中检测到警报,但可以为其他存储库启用警报。
可以通过标准 GitHub 通知机制发送通知。
有关 Dependabot 警报的详细信息,请参阅 有关易受攻击依赖项的警报。
有关提供生成警报的包的详细信息,请参阅受支持的包生态系统。
有关通知详细信息,请参阅:配置通知。
安全更新
Dependabot 安全更新的一个主要优势是能够自动创建拉取请求。
然后,开发人员可以查看建议的更新,并确定需要采纳的内容。
有关自动更新的详细信息,请参阅 有关 GitHub Dependabot 安全更新。