[英]Dependabot.yml security updates for GitHub Actions
我正在嘗試配置dependabot.yml
以獲取 GitHub 操作的安全更新。
我遵循了配置 Dependabot 安全更新文檔。 在配置過程中,我遇到了以下問題:
dependabot.yml
的同時啟用Code security and analysis
Dependabot alerts
和Dependabot security updates
。some-natalie/ghas-to-csv@v1
動作,它有一個GHSA 。也許配置沒有工作(還)因為 Dependabot 甚至沒有識別漏洞,因此沒有創建更新 PR。
你能幫我理解為什么我的配置不起作用嗎? 或者如果它不受支持?
所有 Dependabot 功能都建立在軟件組合分析功能之上(該列表中第一個啟用的按鈕),這就是需要啟用該功能的原因。
然后它只檢查通過解析 repos 中的清單文件找到的 repo 的依賴項
對於安全警報和 PR,您不需要提交 Dependabot.yml 文件。 該文件僅在版本更新時需要。
最后,Dependabot 不會檢查您代碼中的安全漏洞,僅針對依賴項,如果您想對自己的代碼運行 static 代碼分析。 你試試CodeQL等SAST工具(靜態代碼分析工具。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.