Оповещения о вредоносном ПО от Dependabot

          Dependabot malware alerts Помогут вам выявить вредоносное ПО в ваших зависимостях для защиты вашего проекта и его пользователей.

Кто может использовать эту функцию?

Repositories with Dependabot alerts enabled

В этой статье

Программное обеспечение часто опирается на пакеты из разных источников, создавая зависимые отношения, которые могут угрожать безопасности вашего проекта. Например, злоумышленники могут использовать вредоносные пакеты для выполнения атак вредоносным ПО, получая доступ к вашему коду, данным, пользователям и участникам.

Чтобы обеспечить безопасность вашего проекта, Dependabot проверьте зависимости на наличие известных вредоносных пакетов, а затем создайте оповещения с рекомендациями по устранению.

Когда Dependabot отправляется malware alerts

          Dependabot отправляет malware alerts , когда пакет в стандартной ветке вашего репозитория помечен как вредоносный. Оповещения о существующих зависимостях генерируются сразу после того, как пакет отмечается в GitHub Advisory Database

Оповещения также генерируются, когда вы запускаете коммиты, добавляющие известный вредоносный пакет или обновляющие пакет до известной вредоносной версии.

Примечание.

Если экосистема, название и версия внутреннего пакета совпадают с экосистемой вредоносного публичного пакета, Dependabot это может вызвать ложное срабатывание.

Содержание оповещения

При Dependabot обнаружении вредоносной зависимости появляется a malware alert на вкладке Security and quality репозитория. Каждое предупреждение включает:

  • Ссылка на затронутый файл
  • Подробности о вредоносном пакете, включая имя пакета, затронутые версии и патчированную версию (если доступна)
  • Действия по исправлению

Availability

В настоящее время Dependabot malware alerts они доступны для пакетов в npm экосистеме.

Уведомления

По умолчанию GitHub отправляет уведомления о новых уведомлениях по электронной почте тем, кто одновременно:

  • Имейте права на запись, поддержание или администраторские права на репозиторий
  • Следим за репозиторием и включил уведомления о безопасности или о всей активности в репозитории

На GitHub.com, вы можете отменить поведение по умолчанию, выбрав тип уведомлений для получения или полностью отключив их на странице настроек для уведомлений пользователя по пункту https://github.com/settings/notifications.

Если вас беспокоит слишком много уведомлений, мы рекомендуем использовать Правила автообработки зависимостей их для автоматического отклонения оповещений с низким риском. См . раздел AUTOTITLE.

Ограничения

          Dependabot malware alerts Есть некоторые ограничения:

  • Оповещения не могут обнаружить все проблемы с безопасностью. Всегда проверяйте свои зависимости и держите манифест и файлы блокировки актуальными для точного обнаружения.

  • Новое вредоносное ПО может постепенно появляться в GitHub Advisory Database системе и вызывать оповещения.

  • Только предупреждения, которые проверяются триггерными GitHub оповещениями.

  •         Dependabot не сканирует архивные репозитории.

  • Для GitHub Actions оповещения генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA.

            GitHub Никогда публично не раскрывает вредоносные зависимости для любого репозитория.

Дальнейшие действия

Чтобы начать защиту вашего проекта от вредоносных зависимостей, см. раздел AUTOTITLE.