Informationen zum Dependabot auto-triage rules
Dependabot auto-triage rules ermöglichen es Ihnen, Dependabot anzuweisen, Dependabot alerts und Dependabot malware alerts automatisch zu klassifizieren. Sie können Regeln für die automatische Triage verwenden, um:
- Automatisches Schließen oder Schlummern bestimmter Warnmeldungen
- Geben Sie die Dependabot alerts an, für die Dependabot Pull Requests erstellen soll
Regeln werden angewendet, bevor Warnungsbenachrichtigungen gesendet werden, sodass das Aktivieren von Regeln, die Warnungen mit geringem Risiko automatisch schließen, dazu beitragen, Benachrichtigungsgeräusche zu reduzieren.
Es gibt zwei Arten von Dependabot auto-triage rules:
- GitHub-Voreinstellungen
- Benutzerdefinierte Regeln für die automatische Triage
Informationen zum GitHub-Voreinstellungen
GitHub-Voreinstellungen sind Regeln, die von GitHub kuratiert werden und für alle Repositorien verfügbar sind.
Dismiss low impact issues für Abhängigkeiten im Bereich der Entwicklung
Die Dismiss low impact issues for development-scoped dependencies-Regel ist eine GitHub-Voreinstellung, die bestimmte Arten von Sicherheitsrisiken automatisch schließt, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden. Diese Warnungen behandeln Fälle, die den meisten Entwicklern als die zugehörigen Sicherheitsrisiken wie falsche Alarme erscheinen:
- Sind eher nicht in einer Entwicklerumgebung (nicht in der Produktion oder Runtime) ausnutzbar
- Können sich auf Probleme bei der Ressourcenverwaltung, Programmierung und Logik sowie auf Probleme mit der Veröffentlichung von Informationen beziehen
- Haben im schlimmsten Fall begrenzte Auswirkungen wie langsame Builds oder zeitintensive Tests
- Sind kein Hinweis auf Probleme in der Produktion
Die Regel ist standardmäßig für öffentliche Repositorys aktiviert und kann für private Repositorys aktiviert werden. Anweisungen finden Sie unter Aktivieren der Dismiss low impact issues for development-scoped dependencies Regel für Ihr privates Repository.
Weitere Informationen zu den von der Regel verwendeten Kriterien finden Sie unter CWEs, die von den voreingestellten Dependabot-Regeln von GitHub verwendet werden.
Paket-Malware-Warnungen ignorieren
Die Dismiss package malware alerts Regel ist eine GitHub Vorgabe, die Warnungen automatisch verwirft, in denen alle Versionen eines Pakets als bösartig gekennzeichnet werden. Wenn Ihr Projekt von einem internen Paket mit demselben Ökosystem und demselben Namen wie ein schädliches öffentliches Paket abhängt, Dependabot kann eine falsch positive Warnung generiert werden, die die Regel dann automatisch schließt.
Wichtig
Beachten Sie, dass diese Regel die zugehörige Warnung automatisch verwirft, wenn ein Mitwirkender eine Abhängigkeit hinzufügt, die über alle Versionen hinweg wirklich böswillig ist.
Die Regel Dismiss package malware alerts ist standardmäßig deaktiviert, kann jedoch für jedes Repository mithilfe von Dependabot malware alerts aktiviert werden.
Informationen zum Benutzerdefinierte Regeln für die automatische Triage
Hinweis
Benutzerdefinierte Regeln für die automatische Triage für Dependabot alerts sind in öffentlichen Repositorys und in Repositorys im Besitz von Organisationen in GitHub Team oder GitHub Enterprise verfügbar, für die GitHub Code Security aktiviert ist.
Mit Benutzerdefinierte Regeln für die automatische Triage, können Sie eigene Regeln erstellen, um Warnungen basierend auf gezielten Metadaten, z. B. Schweregrad, Paketname, CWE und mehr, automatisch zu schließen oder erneut zu öffnen. Sie können auch angeben, für welche Dependabot alertsDependabot Pull Requests öffnen soll. Weitere Informationen findest du unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.
Sie können benutzerdefinierte Regeln auf der Registerkarte "Einstellungen " des Repositorys erstellen, vorausgesetzt, das Repository gehört zu einer Organisation mit einer Lizenz für GitHub Code Security or GitHub Advanced Security. Weitere Informationen findest du unter Hinzufügen von benutzerdefinierten Regeln für die automatische Selektierung zu deinem Repository.
Informationen zum automatischen Schließen von Warnungen
Auch wenn es sinnvoll ist, automatische Triage-Regeln zu verwenden, um Warnungsmeldungen automatisch zu verwerfen, können Sie automatisch verworfene Warnmeldungen erneut öffnen und filtern, um zu sehen, welche Warnmeldungen automatisch verworfen wurden. Weitere Informationen findest du unter Verwalten von Warnungen, die von einer Dependabot-Auto-Triage-Regel automatisch geschlossen wurden.
Darüber hinaus stehen automatisch verworfene Warnungsmeldungen weiterhin für Berichte und Überprüfungen zur Verfügung und können automatisch wieder geöffnet werden, wenn sich z. B. die Metadaten der Warnmeldung ändern:
- Wenn du den Bereich einer Abhängigkeit von der Entwicklung in die Produktion änderst.
- Wenn GitHub bestimmte Metadaten für den zugehörigen Hinweis ändert.
Automatisch verworfene Warnungen werden durch den Grund für die Schließung resolution:auto-dismiss definiert. Die Aktivität der automatischen Schließung ist in Warnungswebhooks, REST- und GraphQL-APIs sowie im Überwachungsprotokoll enthalten. Weitere Informationen finden Sie unter REST-API-Endpunkte für Dependabot alerts und im Abschnitt „repository_vulnerability_alert“ in Auditprotokoll deiner Organisation überprüfen.
Nächste Schritte
Erste Schritte mit Dependabot auto-triage rules finden Sie unter Verwenden von voreingestellten GitHub-Regeln zum Priorisieren von Dependabot-Warnungen.
Informationen zum Anpassen ihrer automatischen Triage-Erfahrung finden Sie unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.