GitHub 操作的 Dependabot.yml 安全更新
[英]Dependabot.yml security updates for GitHub Actions
問題描述
我正在嘗試配置dependabot.yml以獲取 GitHub 操作的安全更新。
我遵循了配置 Dependabot 安全更新文檔。 在配置過程中,我遇到了以下問題:
- 我不明白是否需要在創建
dependabot.yml的同時啟用Code security and analysisDependabot alerts和Dependabot security updates。 - 我不明白為什么 Dependabot 無法識別我操作中的安全漏洞。 我正在測試
some-natalie/ghas-to-csv@v1動作,它有一個GHSA 。 - 我沒有從關於 Dependabot 安全更新文檔中了解到檢查漏洞並將其轉化為警報/PR 的頻率是多少。
也許配置沒有工作(還)因為 Dependabot 甚至沒有識別漏洞,因此沒有創建更新 PR。
你能幫我理解為什么我的配置不起作用嗎? 或者如果它不受支持?
1 個解決方案
解決方案1
0 2023-01-28 18:57:50
所有 Dependabot 功能都建立在軟件組合分析功能之上(該列表中第一個啟用的按鈕),這就是需要啟用該功能的原因。
然后它只檢查通過解析 repos 中的清單文件找到的 repo 的依賴項
對於安全警報和 PR,您不需要提交 Dependabot.yml 文件。 該文件僅在版本更新時需要。
最后,Dependabot 不會檢查您代碼中的安全漏洞,僅針對依賴項,如果您想對自己的代碼運行 static 代碼分析。 你試試CodeQL等SAST工具(靜態代碼分析工具。
為復合操作中使用的操作啟用 GitHub Dependabot 更新
[英]Enable GitHub Dependabot Updates for actions used in Composite actions
GitHub 的“Dependabot:自動安全修復”的可靠性和缺陷
[英]Reliability and flaws with GitHub's 'Dependabot: Automated security fixes'
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
對於 GitHub Dependabot,dependabot.yml 是強制性的嗎?
為復合操作中使用的操作啟用 GitHub Dependabot 更新
GitHub 操作 - 忽略或排除 Dependabot 拉取請求
如何讓dependabot僅觸發安全更新
如何在 github 中設置 pre-dependabot 操作
GitHub 的“Dependabot:自動安全修復”的可靠性和缺陷
Github 操作工作流 yml 代碼的許可
許可 Github Actions 工作流 yml 代碼
使用 GitHub Actions (YML) 創建 MSI 文件
Github Actions yml 一步配置多個路徑?
相關標簽