Правила автообработки зависимостей

Контролируйте, как Dependabot обрабатываются оповещения безопасности, включая фильтрацию, игнорирование, задержку или запуск обновлений безопасности.

Кто может использовать эту функцию?

Предустановки GitHub доступны для всех типов репозитория.

Пользовательские правила автоматической сортировки доступны для следующих типов репозитория:

  • Репозитории, принадлежащие организации, с GitHub Code Security включено

В этой статье

Около Правила автообработки зависимостей

Правила автообработки зависимостей Позволяет вам инструктировать Dependabot автоматическую сортировку Dependabot alerts. Вы можете использовать Правила автоматической сортировки , чтобы:

  • Автоматически отклоняйте или откладайте определённые оповещения
  • Укажите, для Dependabot alerts чего вы хотите Dependabot открывать pull requests

Правила применяются до отправки уведомлений, поэтому введение правил, автоматически отклоняющих оповещения с низким риском, поможет снизить шум уведомлений.

Существует два типа:Правила автообработки зависимостей

  • Предустановки GitHub
  • Пользовательские правила автоматической сортировки

Около Предустановки GitHub

Предустановки GitHub — это правила, отобранные GitHub и доступные для всех репозиториев.

Игнорируйте вопросы низкого воздействия в пользу зависимостей, ориентированных на разработку

Dismiss low impact issues for development-scoped dependencies Правило — это предустановка GitHub, которая автоматически закрывает определенные типы уязвимостей, обнаруженных в зависимостях npm, используемых в разработке. Эти оповещения охватывают случаи, которые большинству разработчиков кажутся ложными тревогами как связанные с ними уязвимости:

  • Вряд ли будет использоваться в среде разработчика (непроизводственных или среды выполнения).
  • Может относиться к управлению ресурсами, программированию и логике и проблемам раскрытия информации.
  • В худшем случае имеют ограниченные эффекты, такие как медленные сборки или длительные тесты.
  • Не свидетельствуют о проблемах в рабочей среде.

Правило включено по умолчанию для общедоступных репозиториев и может быть включено для частных репозиториев. Инструкции смотрите в разделе «Включение Dismiss low impact issues for development-scoped dependencies правила для вашего приватного репозитория».

Для получения дополнительной информации о критериях, используемых в этом правиле, см. CWE, используемые в предустановленных правилах Dependabot на GitHub.

Около пользовательские правила автоматической сортировки

Примечание.

Пользовательские правила автоматической сортировки для Dependabot alerts доступны для репозиториев, принадлежащих организации, с включенными GitHub Code Security .

С пользовательские правила автоматической сортировкипомощью , вы можете создать собственные правила для автоматического отклонения или повторного открытия оповещений на основе целевых метаданных, таких как степень тяжести, название пакета, CWE и другие. Вы также можете указать, для кого Dependabot alertsDependabot хотите открывать pull request. Дополнительные сведения см. в разделе Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.

Вы можете создавать пользовательские правила на вкладке «Настройки » репозитория, при условии, что репозиторий принадлежит организации, имеющей лицензию на GitHub Code Security or GitHub Advanced Security. Дополнительные сведения см. в разделе "Добавление настраиваемых правил автоматической сортировки" в репозиторий.

Сведения об автоматическом закрытии оповещений

Хотя вы можете найти полезно использовать правила автоматической обработки для автоматического закрытия оповещений, вы по-прежнему можете повторно открыть автоматически снятые оповещения и фильтр, чтобы увидеть, какие оповещения были автоматически отклонены. Дополнительные сведения см. в разделе Управление оповещениями, которые были автоматически отклонены правилом auto-triage Dependabot.

Кроме того, автоматическое закрытие оповещений по-прежнему доступно для создания отчетов и проверки, и может быть автоматически повторно открыт при изменении метаданных оповещений, например:

  • Если изменить область зависимости от разработки на рабочую среду.
  • Это GitHub изменяет определённые метаданные для соответствующего совета.

Автоматическое закрытие оповещений resolution:auto-dismiss определяется по причине закрытия. Автоматическое отключение действий включается в веб-перехватчики оповещений, ИНТЕРФЕЙСы API REST и GraphQL и журнал аудита. Дополнительные сведения см. в разделе [AUTOTITLE и разделе "" в repository_vulnerability_alert](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/reviewing-the-audit-log-for-your-organization#repository_vulnerability_alert-category-actions).

Дальнейшие действия

Чтобы начать с Правила автообработки зависимостей, см. Использование предустановленных правил GitHub для определения приоритетов оповещений Dependabot.

Чтобы настроить ваш опыт автосортировки, смотрите Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.