Informationen zu Dependabot auto-triage rules
Dependabot auto-triage rules bieten dir die Möglichkeit, Dependabot anzuweisen, eine automatische Sichtung von Dependabot alerts und Dependabot malware alerts durchzuführen. Sie können Regeln für die automatische Triage verwenden, um:
- Automatisches Schließen oder Schlummern bestimmter Warnmeldungen
- Gib die Dependabot alerts an, für die Dependabot Pull-Requests öffnen soll
Regeln werden angewendet, bevor Warnungsbenachrichtigungen gesendet werden, sodass das Aktivieren von Regeln, die Warnungen mit geringem Risiko automatisch schließen, dazu beitragen, Benachrichtigungsgeräusche zu reduzieren.
Es gibt zwei Arten von Dependabot auto-triage rules:
- GitHub-Voreinstellungen
- Benutzerdefinierte Regeln für die automatische Triage
Informationen zu GitHub-Voreinstellungen
GitHub-Voreinstellungen sind von GitHub kuratierte Regeln, die für alle Repositories verfügbar sind.
Dismiss low impact issues für Abhängigkeiten im Bereich der Entwicklung
Die Dismiss low impact issues for development-scoped dependencies-Regel ist eine GitHub-Voreinstellung, die bestimmte Arten von Sicherheitsrisiken automatisch schließt, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden. Diese Warnungen decken Fälle ab, die sich für die meisten Entwickler wie Fehlalarme anfühlen, wie die damit verbundenen Sicherheitsrisiken:
- Sind eher nicht in einer Entwicklerumgebung (nicht in der Produktion oder Runtime) ausnutzbar
- Können sich auf Probleme bei der Ressourcenverwaltung, Programmierung und Logik sowie auf Probleme mit der Veröffentlichung von Informationen beziehen
- Haben im schlimmsten Fall begrenzte Auswirkungen wie langsame Builds oder zeitintensive Tests
- Sind kein Hinweis auf Probleme in der Produktion
Die Regel ist standardmäßig für öffentliche Repositorys aktiviert und kann für private Repositorys aktiviert werden. Anweisungen finden Sie unter Aktivieren der Dismiss low impact issues for development-scoped dependencies Regel für Ihr privates Repository.
Weitere Informationen zu den von der Regel verwendeten Kriterien finden Sie unter CWEs, die von den voreingestellten Dependabot-Regeln von GitHub verwendet werden.
Paket-Malware-Warnungen ignorieren
Die Dismiss package malware alerts Regel ist eine GitHub Voreinstellung, die Warnungen, die alle Versionen eines Pakets als schädlich kennzeichnen, automatisch ignoriert. Wenn Ihr Projekt von einem internen Paket mit demselben Ökosystem und Namen wie ein schädliches Öffentlich Paket abhängt, kann Dependabot eine falsch positive Warnung generieren, die die Regel dann automatisch ignoriert.
Wichtig
Beachten Sie, dass diese Regel die zugehörige Warnung automatisch verwirft, wenn ein Mitwirkender eine Abhängigkeit hinzufügt, die über alle Versionen hinweg wirklich böswillig ist.
Die Dismiss package malware alerts Regel ist standardmäßig deaktiviert, kann jedoch für jedes Repository mit Dependabot malware alerts aktiviert werden.
Informationen zu Benutzerdefinierte Regeln für die automatische Triage
Hinweis
Benutzerdefinierte Regeln für die automatische Triage für Dependabot alerts sind in den folgenden Repositorys verfügbar: öffentliche Repositorys und alle Repositorys im Besitz von Organisationen in GitHub Team, für die GitHub Code Security aktiviert ist.
Mit Benutzerdefinierte Regeln für die automatische Triage können Sie Ihre eigenen Regeln erstellen, um Warnungen auf der Grundlage von gezielten Metadaten eigenen Kriterien, wie Schweregrad, Paketname, CWE, usw. automatisch zu verwerfen oder wieder zu öffnen. Du kannst auch angeben, für welche Dependabot alerts du möchtest, dass Dependabot Pull-Requests öffnet. Weitere Informationen finden Sie unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.
Du kannst benutzerdefinierte Regeln auf der Registerkarte Settings des Repository erstellen, vorausgesetzt, das Repository gehört zu einer Organisation, die über eine Lizenz für GitHub Code Security or GitHub Advanced Security verfügt. Weitere Informationen findest du unter Hinzufügen von benutzerdefinierten Regeln für die automatische Selektierung zu deinem Repository.
Informationen zum automatischen Schließen von Warnungen
Auch wenn es sinnvoll ist, automatische Triage-Regeln zu verwenden, um Warnungsmeldungen automatisch zu verwerfen, können Sie automatisch verworfene Warnmeldungen erneut öffnen und filtern, um zu sehen, welche Warnmeldungen automatisch verworfen wurden. Weitere Informationen finden Sie unter Verwalten von Warnungen, die von einer Dependabot-Auto-Triage-Regel automatisch geschlossen wurden.
Darüber hinaus stehen automatisch verworfene Warnungsmeldungen weiterhin für Berichte und Überprüfungen zur Verfügung und können automatisch wieder geöffnet werden, wenn sich z. B. die Metadaten der Warnmeldung ändern:
- Wenn du den Bereich einer Abhängigkeit von der Entwicklung in die Produktion änderst.
- Wenn GitHub bestimmte Metadaten für die entsprechende Empfehlung ändert.
Automatisch verworfene Warnungen werden durch den Grund für die Schließung resolution:auto-dismiss definiert. Die Aktivität der automatischen Schließung ist in Warnungswebhooks, REST- und GraphQL-APIs sowie im Überwachungsprotokoll enthalten. Weitere Informationen finden Sie unter REST-API-Endpunkte für Dependabot alerts und im Abschnitt „repository_vulnerability_alert“ in Auditprotokoll deiner Organisation überprüfen.
Nächste Schritte
Um mit Dependabot auto-triage rules zu beginnen, siehe Verwenden von voreingestellten GitHub-Regeln zum Priorisieren von Dependabot-Warnungen.
Um deine Auto-Triage-Erfahrung anzupassen, siehe Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.