我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

配置自动安全修复

您可以使用自动或手动拉取请求轻松更新易受攻击的依赖项。

本文内容

关于自动安全修复

:自动安全修复功能处于测试阶段,可能会有所变化。 您可以为任何使用安全警报和依赖关系图的仓库启用自动安全修复。 从 2019 年 5 月开始,我们将于未来几个月内在每个使用安全警报和依赖关系图的仓库中自动启用自动安全修复。

收到有关仓库中易受攻击依赖项的安全警报时,您可以使用与安全警报对应的拉取请求中的自动安全修复来解决漏洞。 使用依赖关系图的仓库中提供自动安全修复功能。 默认情况下,GitHub 会自动在您的仓库中创建拉取请求,以将易受攻击的依赖项升级到避免漏洞所需的最低安全版本。 如果您愿意,可以禁用自动拉取请求,只在需要时选择手动创建拉取请求以升级依赖项。

自动安全请求包含快速安全地审查并将提议的修复合并到项目中所需的一切,包括有关漏洞的信息,如版本说明、更改日志条目和提交详细信息。

自动安全修复由 Dependabot 代表 GitHub 开启。 Dependabot GitHub 应用程序 会自动安装在每个启用了自动安全修复的仓库中。

有权访问仓库安全警报的人可以看到指向相关安全警报的链接,但有权访问拉取请求的其他人无法看到拉取请求要解决的漏洞。

当您合并包含自动安全修复的拉取请求时,仓库的相应安全警报将被标记为已解决。

注:自动安全修复只解决安全漏洞。 自动安全修复的目标不是解决托管在私有仓库中的私有注册表或包中的漏洞。

关于兼容性分数

自动安全修复还包括兼容性分数,以便您了解更新漏洞是否可能导致对项目的重大更改。 我们从已生成特定自动安全修复程序的公共仓库中查看此前通过的 CI 测试,以了解更新是否会导致测试失败。 更新的兼容性分数是在依赖项的相关版本之间进行更新时,CI 运行被视为通过的百分比。

管理仓库的自动安全修复

您可以对仓库启用或禁用自动安全修复。

在启用自动安全修复之前,必须为仓库启用依赖关系图和安全警报。 更多信息请参阅“选择加入或退出仓库的数据使用”。

  1. 在 GitHub 上,导航到仓库的主页面。

  2. 在仓库名称下,单击 Security(安全)

    Security(安全)选项卡

  3. 在警报列表的上方,使用下拉菜单并选择或取消选择 Automated security fixes(自动安全修复)

    包含启用自动安全修复的选项的下拉菜单

延伸阅读

问问别人

找不到要找的内容?

联系我们