實作 GitHub Dependabot 警示和安全性更新
警示
GitHub Dependabot 會偵測易受攻擊的相依性,並在數種情況下傳送 Dependabot 警示:
- 新的弱點會新增到 GitHub Advisory 資料庫。
- 系統正處理來自 Mend 的新弱點資料。
- 存放庫的相依性關係圖有所變更。
公用存放庫會依預設偵測警示,但也可以針對其他存放庫來啟用警示。
可以透過標準 GitHub 通知機制來傳送通知。
如需 Dependabot 警示的詳細資訊,請參閱關於易受攻擊相依性的警示。
如需詳細瞭解可產生警示的已提供套件,請參閱支援套件生態系統。
如需通知的詳細資料,請參閱:設定通知。
安全性更新
Dependabot 安全性更新的主要優點,在於可自動建立提取要求。
開發人員接著即可檢閱建議的更新,並將其分級併入。
如需自動安全性更新的詳細資訊,請參閱關於 GitHub Dependabot 的安全性更新。