Оповещения о вредоносном ПО от Dependabot

Dependabot malware alerts помогут вам выявлять вредоносное ПО в ваших зависимостях для защиты вашего проекта и его пользователей.

Кто может использовать эту функцию?

Repositories with Dependabot alerts enabled

В этой статье

Программное обеспечение часто опирается на пакеты из разных источников, создавая зависимые отношения, которые могут угрожать безопасности вашего проекта. Например, злоумышленники могут использовать вредоносные пакеты для выполнения атак вредоносным ПО, получая доступ к вашему коду, данным, пользователям и участникам.

Чтобы обеспечить безопасность вашего проекта, Dependabot может проверить ваши зависимости на наличие известных вредоносных пакетов, а затем создавать оповещения с предложенными шагами по устранению.

Когда Dependabot отправляет malware alerts

Dependabot отправляет malware alerts, когда пакет в стандартной ветке вашего репозитория помечен как вредоносный. Оповещения о существующих зависимостях генерируются сразу после того, как пакет помечен на GitHub Advisory Database.

Оповещения также генерируются, когда вы запускаете коммиты, добавляющие известный вредоносный пакет или обновляющие пакет до известной вредоносной версии.

Примечание.

Если экосистема, имя и версия внутреннего пакета совпадают с экосистемой вредоносного публичного пакета, Dependabot может вызвать ложноположительное предупреждение.

Содержание оповещения

Когда Dependabot обнаруживает вредоносную зависимость, на вкладке Безопасность репозитория появляется malware alert. Каждое предупреждение включает:

  • Ссылка на затронутый файл
  • Подробности о вредоносном пакете, включая имя пакета, затронутые версии и патчированную версию (если доступна)
  • Действия по исправлению

Availability

В настоящее время Dependabot malware alerts доступны для пакетов в экосистеме npm .

Уведомления

По умолчанию GitHub отправляет уведомления о новых уведомлениях по электронной почте людям, которые одновременно:

  • Имейте права на запись, поддержание или администраторские права на репозиторий
  • Следим за репозиторием и включил уведомления о безопасности или о всей активности в репозитории

На GitHub.com вы можете отменить поведение по умолчанию, выбрав тип уведомлений для получения или полностью отключив уведомления на странице настроек для ваших уведомлений пользователя по https://github.com/settings/notificationsадресу .

Если вас беспокоит слишком много уведомлений, мы рекомендуем использовать Правила автообработки зависимостей для автоматического отклонения низкорисковых оповещений. См . раздел AUTOTITLE.

Ограничения

Dependabot malware alerts имеют некоторые ограничения:

  • Оповещения не могут обнаружить все проблемы с безопасностью. Всегда проверяйте свои зависимости и держите манифест и файлы блокировки актуальными для точного обнаружения.
  • Новое вредоносное ПО может потребовать время, чтобы появиться в GitHub Advisory Database и вызвать оповещения.
  • Только уведомления, проверенные GitHub, запускают оповещения.
  • Dependabot не сканирует архивные репозитории.
  • Для GitHub Actions оповещения генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA.

GitHub никогда публично не раскрывает вредоносные зависимости для любого репозитория.

Дальнейшие действия

Чтобы начать защиту вашего проекта от вредоносных зависимостей, см. раздел AUTOTITLE.