Dependabot 介绍

张_培 lv-2
·  阅读 2617

Background

你可能常常会在你的某一个Github repo上发现这样的alert 这是Github给你发送的Dependabot alerts

What is Dependabot?

Github Dependabot 是一个github的工具,他可以帮助你检测你的repo, 并且做一些工作保证你repo的安全性。Dependabot可以为你repo做的事情主要分成三大类:

  • Keep all your dependencies updated: 实时检测你的repo,并keep你所有的dependency都能被updated
  • Detection of vulnerable dependencies send Dependabot alert:检测vulnerable dependencies并发出Dependabot alert
  • Stop using vulnerable dependencies and keep security updates: 帮助你停止使用有vulnerable的dependencies

Keep all your dependencies updated

Dependabot除了可以帮助我们处理漏洞以外,还有一个非常重要的作用,就是帮助我们检测我们所使用的dependency中是否有可以更新的版本,如果有,它也可以帮助我们实现自动更新。

在repo中enable了Dependabot之后,可以时刻的保证我们repo中使用的dependency都是up to date的

Detection of vulnerable dependencies

Github会检测vulnerable dependencies,如果发现就会发出Dependabot alerts, 这种检测机制在以下几种情况下被触发:

  • 当GitHub Advisory Database中又收录了一个新的vulnerability

GitHub Advisory Database中包含了所有目前发现的vulnerability。Github也为了方便开发者查询vulnerability而开发了一UI github.com/advisories, 这里你可以浏览或搜索影响GitHub上开源项目的漏洞。

  • 来自WhiteSource的新的vulnerability被处理

WhiteSource DB也是一个用于存储open source security vulnerabilities的DB

  • repo中添加了新的dependency或者升级了某一个dependency的版本,或者说dependency graph发生了改变。

默认情况下,Github会检测所有的public repo,当发现漏洞的时候alert仓库的维护者,alert中会包含被影响的文件link,以及漏洞修复的版本和信息。

对于一些private repo就需要维护者手动的enable dependency graphGitHub Dependabot alerts 653a985899480f765a3f40507b8116a5.png

对于那些enable Dependabot security updates 的仓库,Dependabot会自动的将漏洞修复,并且给你的仓库提PR。

Stop using vulnerable dependencies: Dependabot security updates

当你的repo enable Dependabot security updates 之后,Github会找到没有漏洞的版本,将漏洞修复,并且给你的repo提一个PR

你的repo就可以实现自动的security updates

How to use Dependabot ?

Dependabot的检测功能对于public repo是默认开启的,如何开启我已经在上面提过了,这部分主要会说明如何配置Dependabot的自动update。

如果想要Dependabot帮你做security updates,你需要两个步骤:

  • 在repo中首先enable Dependabot security updates

  • 在repo根目录下创建.github folder,并且在folder下添加dependabot.yml(dependabot的config)

    这个config主要配置:

    • 那些漏洞需要被自动修复

    • 多久进行一次自动修复工作

# Basic dependabot.yml file with
# minimum configuration for two package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"

复制代码
分类:
阅读
标签:
GitHub
相关推荐
  •
    2年前
    面试
    如何向面试官介绍你的项目
    不知道大家面试的时候是怎么介绍自己的项目的?大家可以想一下当时介绍项目的时候是否把要点都说了,是否把面试官最关注的问题回答了?假如你说的都没有问题就问题不大。但是我发现很多小伙伴回答问题的时候都只是一笔带过,如这个是一个xxx项目,我在里面担任了xxx岗位,用了什么技术栈等。其…
    • 9316
    • 评论
  • 1年前
    前端 GitHub
    GitHub 上 9 个美观大气的后台管理系统
    一套既美观又方便的后台框架可以大大幅节约开发时间和成本,本文推荐 9 款漂亮、功能强大的后台模板,本文推荐的开源项目已经收录到 Awesome GitHub Repo。
    • 6.8w
    • 62
    GitHub 上 9 个美观大气的后台管理系统
  •
    3月前
    人工智能
    十五分钟简介人工智能,以听懂为目的
    我从事人工智能相关的工作,有时候亲朋好友就问我,你那个人工智能到底是什么玩意?我一般不做解释,因为很难说清楚。后来,我碰到一个做演讲的朋友,他了解了我的困惑之后,他给我布置了一个任务:用十五分钟讲完…
    • 1.0w
    • 22
    十五分钟简介人工智能,以听懂为目的
  •
    2年前
    面试
    本人面试两个月真实经历:面试了20家大厂之后,发现这样介绍项目经验,显得项目很牛逼!| 掘金技术征文
    上面文章写完已经0点过后了,就没有精力写完,其实,精力还是有的,主要还是怜惜自己的小命,保住头发要紧,不然双11又得团购生发洗发水了。 这两天发布了上一篇文章之后,有朋友说最想看的竟然在下一篇文章,这不,我快马加鞭,赶紧把第二篇文章给放出来。 这篇文章主要是接着上篇文章的思路写…
    • 1.5w
    • 8
  • 2年前
    Go
    Golang下的ORM框架gorm的介绍和使用
    我们都知道,在golang中需要使用一些驱动包来对指定数据库进行操作,比如MySQL需要使用github.com/go-sql-driver/mysql库,而Sqlite需要使用github.com/mattn/go-sqlite3库来支持,不过好在gorm框架中对各个驱动包进…
    • 1.3w
    • 2
  • 1年前
    前端 JavaScript GitHub
    推荐一款免费的Markdown编辑器,GitHub斩获22.8k Star!
    前言 相信大家都知道 Typora收费的事情,买断的价格是14.99刀,算成人民币大概89块钱,但是好像是大版本买断!虽然它是一款非常优秀的Markdown编辑器,但要出这钱,我还是觉得肉疼... 虽
    • 3.3w
    • 56
    推荐一款免费的Markdown编辑器,GitHub斩获22.8k Star!
  •
    11月前
    后端 GitHub
    再见收费的Navicat!操作所有数据库就靠它了!
    作为一名开发者,免不了要和数据库打交道,于是我们就需要一款顺手的数据库管理工具。很长一段时间里,Navicat 都是我的首选,但最近更换了一台新电脑,之前的绿色安装包找不到了。 于是就琢磨着,找一款免
    • 7.8w
    • 230
  • 4年前
    GitHub Google Chrome
    老司机的神兵利器-效率工具
    快速启动应用,Windows版的神器Alfred。 快速启动应用+文件搜索+各种实用插件(计算器、翻译、网页快速访问等)。 我的最爱,没有它我几乎半残。 一开始从用altrun 然后试过Listary ,发现WOX 后,最为顺手,效率提升100%。 秒找电脑里的各种文件。与WO…
    • 4.7w
    • 43
  • 6月前
    前端 GitHub JavaScript
    2022 我的Mac软件折腾之路
    本文来自飞猪某个前端同学,他说何为差生文具多,看完这个你就清楚了。Markdown 笔记应用应该属于我折腾最多的一块,楼主从大学期间开始使用 Markdown ,从最开始的为知笔记,到后面马克飞象,到
    • 3.5w
    • 91
  • 1年前
    面试 前端
    🔥正确介绍自己的项目经验 再也不为面试发愁了
    在面试时,面试官一般都会问候选人简历中所列的项目,让介绍下项目经验。常见的问法是,说下你最近的一个项目。面试中很多人忽视对这一个环节的准备,甚至不知该如何去准备,本文就面试中项目经验的准备做了总结。
    • 1.3w
    • 21
  • 2月前
    掘金社区
    2022年度人气创作者榜单 瓜分奖池介绍及名单公布
    2022年度人气创作者榜单 瓜分奖池介绍。准入资格:每日总票数排名在前300名的已报名创作者,则获得参与资格。
    • 1.2w
    • 150
    2022年度人气创作者榜单 瓜分奖池介绍及名单公布
  •
    3年前
    GitHub
    为什么进步太慢,因为你没有一个好习惯
    原文地址:https://juejin.im/post/6844903793918738446有人问我如何做好架构设计?怎样灵活运用设计模式?我的回答是,你做不好这些只是因为你没有养成一个良好的编程习
    • 2.8w
    • 50
    为什么进步太慢,因为你没有一个好习惯
  •
    5年前
    API 前端 Firefox
    scrollIntoView 与 scrollIntoViewIfNeeded API 介绍
    Hello~亲爱的观众老爷们大家好!国庆中秋长假快放完了,是时候收拾心(ti)情(zhong)好好学习与工作啦。这次为大家带来的是两个好用 API 的介绍,其实也是偷懒神器。 根据 MDN的描述,Element.scrollIntoView()方法让当前的元素滚动到浏览器窗口的…
    • 2.4w
    • 5
  • 12月前
    前端 JavaScript GitHub
    来自未来,2022 年的前端人都在做什么?
    这是一份来自未来的文档,感谢你对前端技术领域持续关注。读完本文你将知道 2022 年前端人都在关注些什么?
    • 3.8w
    • 45
    来自未来,2022 年的前端人都在做什么?
  •
    1年前
    Java 面试
    阿里P6+面试:介绍下观察者模式?
    消息队列(MQ),一种能实现生产者到消费者单向通信的通信模型,这也是现在常用的主流中间件。常见有 RabbitMQ、ActiveMQ、Kafka等 他们的特点也有很多 比如 解偶、异步、广播、削峰 等
    • 1.1w
    • 9
    阿里P6+面试:介绍下观察者模式?
  •
    2年前
    GitHub 前端
    白嫖 11 个超火的前端必备在线工具,终于有时间上班摸鱼了
    猫哥是一个常年混迹在 GitHub 上的猫星人,所以发现了不少好的前端开源项目,在此分享给大家。 以下为【前端GitHub】的第 9 期精华内容。 1. LightHouse LightHouse 是一个开源的自动化工具,用于改进网络应用的质量。 可以将其作为一个 Chrome…
    • 3.0w
    • 35
    白嫖 11 个超火的前端必备在线工具,终于有时间上班摸鱼了
  •
    3年前
    Android
    Android DeepLink介绍与使用
    前段时间公司让调研一下DeepLink,说以后会用到,之前看了很久,并做了个demo,现整理一下,方便以后查阅,如果有幸帮助到其他人就更好了。 Deep Link,又叫deep linking,中文翻译作深层链接。 简单地从用户体验来讲,Deep Link,就是可以让你在手机的…
    • 1.5w
    • 4
    Android DeepLink介绍与使用
  •
    5月前
    前端 GitHub
    给蚂蚁金服antv提个PR, 以为是改个错别字, 未曾想背后的原因竟如此复杂!
    给蚂蚁金服antv产品的构建系统提了个PR. 一开始以为是个文档错误的bug, 随着一步步的深入排查, 发现这竟是一个存在了2年的功能bug...
    • 3.4w
    • 113
  • 9月前
    前端 GitHub
    github访问很慢,又没有梯子该怎么办?
    前情提要 作为国内的用户,我相信绝大多数的家人们都遇到过一个问题,那就是访问github的时候非常非常慢。甚至有的时候访问网站页面直接死掉。这个时候该有人说了,我有梯子我不怕,上网速度嗖嗖的。 但是,
    • 8.5w
    • 249
  • 5年前
    Android GitHub 动效
    关注我就能达到大师级水平,这话我终于敢说了
    这句话我真的憋了好久。Android 工程师只要关注我,我就能让你达到大师级水平,不是面试时的吹牛逼水平,不是自我欺骗的了解皮毛的水平,是真正的开发实力。以前我有这个自信,没这个证据。但现在,证据我也有了。 关注我的人都知道,我这三个多月来一直在网上分享关于 Android 自…
    • 3.2w
    • 99

    • 友情链接:

    软件开发工程师
    私信
    获得点赞  5
    文章被阅读  5,830
    相关文章
    面试自我介绍5句话公式
    447点赞
     · 
    30评论
    简单介绍一下Progressive Web App(PWA)
    296点赞
     · 
    4评论
    前端优化:浏览器缓存技术介绍
    482点赞
     · 
    34评论
    Vue.set()和this.$set()介绍
    126点赞
     · 
    5评论
    前端路由简介以及vue-router实现原理
    778点赞
     · 
    26评论
    收藏成功!
    已添加到「」, 点击更改