Эта версия GitHub Enterprise Server будет прекращена 2026-04-09. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Краткое руководство по зависимостям

Найдите и исправьте уязвимые зависимости, на которые вы полагаетесь с Dependabotпомощью .

Кто может использовать эту функцию?

Dependabot alerts доступны для репозиториев, принадлежащих организациям, и пользователям.

В этой статье

Около Dependabot

Это руководство по быстрому старту проводит вас через настройку, включение Dependabot, просмотр Dependabot alertsи обновление вашего репозитория для использования защищённой версии зависимости.

Dependabot состоит из трех различных функций, которые помогают управлять зависимостями:

  • Dependabot alerts: сообщите об уязвимостях в зависимости, которые вы используете в репозитории.
  • Dependabot security updates: автоматически вызывают запросы на вытягивание для обновления зависимостей, которые используются с известными уязвимостями системы безопасности.
  • Dependabot version updates: автоматически вызывают запросы на вытягивание, чтобы обеспечить актуальность зависимостей.

Предпосылки

Прежде чем использовать Dependabot alerts эту функцию , GitHubнеобходимо убедиться, что ваш корпоративный администратор включил Dependabot этот экземпляр. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

Для целей этого руководства мы будем использовать репозиторий демонстраций, чтобы показать, как Dependabot находит уязвимости в зависимостях, где можно видеть Dependabot alerts на GitHub, и как можно исследовать, исправлять или игнорировать эти оповещения.

Сначала необходимо создать демонстрационный репозиторий.

  1. Перейдите к https://github.com/dependabot/demo.
  2. Вверху страницы, справа — нажмите Fork.
  3. Выберите владельца (вы можете выбрать личный GitHub аккаунт) и введите имя репозитория. Дополнительные сведения о вилке репозиториев см. в разделе Вилка репозитория.
  4. Нажмите Создать вилку.

Включение Dependabot вашего репозитория

Выполните приведенные ниже действия в репозитории, который вы вилировали в предварительных требованиях.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Code security and analysis.

  4. Под "Dependabot", нажмите Включить для Dependabot alerts, Dependabot security updates, и Dependabot version updates.

  5. Если вы нажали Включить для Dependabot version updates, вы сможете отредактировать стандартный dependabot.yml конфигурационный файл, который GitHub создается для вас в /.github каталоге вашего репозитория. Чтобы включить Dependabot version updates репозиторий, вы обычно настраиваете этот файл под свои нужды, редактируя стандартный файл и внося изменения. Пример см. в фрагменте кода, предоставленном в Настройка обновлений версий Dependabot .

Примечание.

Если граф зависимостей для репозитория ещё не включён, GitHub он будет автоматически активирован при включении Dependabot.

Для получения дополнительной информации о настройке каждой из этих Dependabot функций смотрите Настройка оповещений Dependabot, Настройка обновлений для системы безопасности Dependabot, Настройка обновлений версий Dependabot.

Просмотр Dependabot alerts для вашего репозитория

Если Dependabot alerts репозиторий включен, вы можете посмотреть Dependabot alerts его на Security вкладке репозитория. Вы можете использовать форкированный репозиторий, на котором вы включили Dependabot alerts в предыдущем разделе.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security вкладку. Если вы не видите вкладку « Security» — выберите выпадающее меню и нажмите Security.

  3. В боковой панели «Оповещения о уязвимости» обзора безопасности нажмите Dependabot. Если этот параметр отсутствует, это означает, что у вас нет доступа к оповещениям системы безопасности. Вам необходимо получить права доступа. Для получения дополнительной информации см. Управление параметрами безопасности и анализа для репозитория.

           ![Скриншот обзора безопасности, вкладка «Dependabot» выделена тёмно-оранжевым контуром.](/assets/images/enterprise/repository/dependabot-alerts-tab.png)

  4. Ознакомьтесь с открытыми уведомлениями на Dependabot alerts странице. По умолчанию на странице отображается вкладка "Открыть **", в которой перечислены открытые оповещения. (Вы сможете просматривать все закрытые оповещения, щелкнув ** кнопкуЗакрыто.)

    Снимок экрана: список оповещений Dependabot для демонстрационного репозитория.

    Вы можете фильтровать Dependabot alerts в списке, используя различные фильтры или метки. Дополнительные сведения см. в разделе Просмотр и обновление оповещений Dependabot. Вы также можете фильтровать Правила автообработки зависимостей ложные срабатывания или оповещения, которые вас не интересуют. Дополнительные сведения см. в разделе Сведения о правилах автообработки Dependabot.

  5. Щелкните оповещение javascript/package-lock.json "Внедрение команд в lodash" в файле. На странице сведений для оповещения отображаются следующие сведения (обратите внимание, что некоторые сведения могут не применяться ко всем оповещениям):

    • Создал Dependabot ли я pull request, который исправит уязвимость. Чтобы просмотреть предлагаемое обновление системы безопасности, нажмите кнопку "Проверить обновление безопасности".
    • Пакет, участвующий
    • Затронутые версии
    • Исправленная версия
    • Краткое описание уязвимости

    Снимок экрана: подробная страница оповещения в демонстрационном репозитории с основными сведениями.

  6. Кроме того, можно также просмотреть сведения в правой части страницы. Некоторые сведения, показанные на снимке экрана, могут не применяться к каждому оповещению.

    • Severity
    • Метрики CVSS: мы используем уровни CVSS для назначения уровней серьезности. Дополнительные сведения см. в разделе Сведения о базе данных GitHub Advisory.
    • Метки
    • Слабые места: список CWEs, связанных с уязвимостью, если применимо
    • ИДЕНТИФИКАТОР CVE: уникальный идентификатор CVE для уязвимости, если применимо
    • GHSA ID: Уникальный идентификатор соответствующего уведомления на GitHub Advisory Database. Дополнительные сведения см. в разделе Сведения о базе данных GitHub Advisory.
    • Возможность перейти к уведомлению на сайте GitHub Advisory Database
    • Возможность просмотреть все репозитории, затронутые этой уязвимостью
    • Возможность предложить улучшения для этого предупреждения GitHub Advisory Database

    Снимок экрана: подробная страница оповещения в демонстрационном репозитории с информацией, отображаемой в правой части страницы.

Для получения дополнительной информации о просмотре, расстановке приоритетов и сортировке Dependabot alertsсм. АВТОТИТРЫ.

Исправление или отклонение Dependabot оповещения

Вы можете исправить или отклонить Dependabot alerts .GitHub Давайте продолжаем использовать вилированный репозиторий в качестве примера и оповещение "Внедрение команд в lodash", описанное в предыдущем разделе.

  1. Перейдите к Dependabot alerts вкладке репозитория. Для получения дополнительной информации смотрите раздел «Просмотр Dependabot alerts » для вашего репозитория выше.
  2. Щелкните оповещение.
  3. Щелкните оповещение javascript/package-lock.json "Внедрение команд в lodash" в файле.
  4. Просмотрите оповещение. Вы можете:

    • Просмотрите предлагаемое обновление системы безопасности, нажав кнопку "Проверить обновление безопасности". Это откроет pull-запрос, сгенерированный Dependabot с исправлением безопасности.

      Снимок экрана: запрос на вытягивание, созданный Dependabot для устранения уязвимости безопасности, выделенной выбранным оповещением.

      • В описании запроса на вытягивание можно нажать кнопку "Фиксации ", чтобы изучить фиксации, включенные в запрос на вытягивание.
      • Вы также можете нажать Dependabot команды и опции , чтобы узнать о командах, которые можно использовать для взаимодействия с pull request.
      • Когда вы будете готовы обновить зависимость и устранить уязвимость, объедините запрос на вытягивание.

    • Если вы решите, что вы хотите закрыть оповещение

      • Вернитесь на страницу сведений об оповещении.

      • В правом верхнем углу нажмите кнопку "Закрыть оповещение".

        Снимок экрана: страница сведений об оповещении с кнопкой Закрыть оповещение, параметры раскрывающегося меню и поле комментариев, описанное в оранжевый цвет.

      • Выберите причину увольнения оповещения.

      • При необходимости добавьте комментарий о закрытии. Комментарий о закрытии будет добавлен на временную шкалу оповещений, и он может использоваться в качестве обоснования для аудита или отчетов.

      • Щелкните Закрыть оповещение. Оповещение больше не отображается на вкладке "Открыть" списка оповещений, и вы можете просмотреть его на вкладке " Закрыто".

Для получения дополнительной информации о рецензировании и обновлении Dependabot alertsсм. Просмотр и обновление оповещений Dependabot.

Устранение неполадок

Если вам может потребоваться выполнить некоторые действия по устранению неполадок: * Dependabot блокируется в создании pull request для исправления оповещения или

  • Информация, которую вы ожидали Dependabot , совсем не такая, как вы ожидаете.

Дополнительные сведения см. в разделе [AUTOTITLE и Ошибки dependabot](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies) соответственно.

Дальнейшие шаги

Для получения дополнительной информации об настройке Dependabot обновлений смотрите Настройка обновлений для системы безопасности Dependabot и Настройка обновлений версий Dependabot.

Для получения дополнительной информации о конфигурации Dependabot для организации см. Настройка оповещений Dependabot.

Для получения дополнительной информации о просмотре pull request, открытых , Dependabotсм. Управление запросами на вытягивание для обновлений зависимостей.

Для получения дополнительной информации о рекомендациях по безопасности, которые вносят вклад Dependabot alertsв , см. Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Для получения дополнительной информации о настройках уведомлений Dependabot alertsо , смотрите Настройка уведомлений для оповещений Dependabot.