我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

配置自动安全修复

您可以使用自动或手动拉取请求轻松更新易受攻击的依赖项。

本文内容

关于自动安全修复

:自动安全修复功能处于测试阶段,可能会有所变化。

You can enable automated security fixes for any repository that uses security alerts and the dependency graph. We'll automatically enable automated security fixes in every repository that uses security alerts and the dependency graph over the next few months, starting in May 2019. You can disable automated security fixes for an individual repository or for all repositories owned by your user account or organization.

收到有关仓库中易受攻击依赖项的安全警报时,您可以使用与安全警报对应的拉取请求中的自动安全修复来解决漏洞。 使用依赖关系图的仓库中提供自动安全修复功能。 默认情况下,GitHub 会自动在您的仓库中创建拉取请求,以将易受攻击的依赖项升级到避免漏洞所需的最低安全版本。 如果您愿意,可以禁用自动拉取请求,只在需要时选择手动创建拉取请求以升级依赖项。

自动安全请求包含快速安全地审查并将提议的修复合并到项目中所需的一切,包括有关漏洞的信息,如版本说明、更改日志条目和提交详细信息。

自动安全修复由 Dependabot 代表 GitHub 开启。 Dependabot GitHub 应用程序 会自动安装在每个启用了自动安全修复的仓库中。

有权访问仓库安全警报的人可以看到指向相关安全警报的链接,但有权访问拉取请求的其他人无法看到拉取请求要解决的漏洞。

当您合并包含自动安全修复的拉取请求时,仓库的相应安全警报将被标记为已解决。

注:自动安全修复只解决安全漏洞。 自动安全修复的目标不是解决托管在私有仓库中的私有注册表或包中的漏洞。

关于兼容性分数

自动安全修复还包括兼容性分数,以便您了解更新漏洞是否可能导致对项目的重大更改。 我们从已生成特定自动安全修复程序的公共仓库中查看此前通过的 CI 测试,以了解更新是否会导致测试失败。 更新的兼容性分数是在依赖项的相关版本之间进行更新时,CI 运行被视为通过的百分比。

管理仓库的自动安全修复

You can enable or disable automated security fixes for an individual repository.

在启用自动安全修复之前,必须为仓库启用依赖关系图和安全警报。 更多信息请参阅“选择加入或退出仓库的数据使用”。

  1. 在 GitHub 上,导航到仓库的主页面。

  2. 在仓库名称下,单击 Security(安全)

    Security(安全)选项卡

  3. 在警报列表的上方,使用下拉菜单并选择或取消选择 Automated security fixes(自动安全修复)

    包含启用自动安全修复的选项的下拉菜单

Managing automated security fixes for your user account

You can disable automated security fixes for all repositories owned by your user account. If you do, you can still enable automated security fixes for individual repositories owned by your user account.

  1. 在任意页面的右上角,单击您的个人资料照片,然后单击 Settings(设置)

    用户栏中的 Settings(设置)图标

  2. 在用户设置侧边栏中,单击 Security(安全)

    安全设置侧边栏

  3. Under "Automated security fixes", select or deselect Opt out of automated security fixes.

    Checkbox to opt out of automated security fixes

  4. 单击 Save(保存)

Managing automated security fixes for your organization

Organization owners can disable automated security fixes for all repositories owned by the organization. If you do, anyone with admin permissions to an individual repository owned by the organization can still enable automated security fixes on that repository.

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)

    个人资料照片

  2. 在个人资料页面的左侧,在“Organizations(组织)”下单击组织的图标。

    组织图标

  3. 在组织名称下,单击 Settings(设置)

    组织设置按钮

  4. 在组织设置侧边栏中,单击 Security(安全)

    Security(安全)设置

  5. Under "Automated security fixes", select or deselect Opt out of automated security fixes.

    Checkbox to opt out of automated security fixes

  6. 单击 Save(保存)

延伸阅读

问问别人

找不到要找的内容?

联系我们