GitHub, Dependabot bağımlılık tarayıcısı için yeni bir genel beta özelliği geliştirdi. Geliştiricilerin kuralları kendi ihtiyaçlarına göre tanımlamasının ardından artık otomatik önceliklendirme kurallarını kullanarak güvenlik uyarılarını bağımsız olarak yönetebiliyor. İşlev, kamu arşivleri için ücretsiz olarak kullanılabilir.
Duyuru
Güvenlik uyarılarının otomatik değerlendirmesi
Dependabot, Alert Rules Engine beta programının Mayıs 2023’te başlatılmasından bu yana, npm devDependeency’lere yönelik yanlış pozitif uyarıları filtrelemek için GitHub tarafından seçilen kuralları uygulayabiliyor. Yeni otomatik önceliklendirme kurallarının bir parçası olarak, otomatikleştirme için özel kurallar ayarlamak artık mümkün. Dependabot uyarılarının otomatik olarak kapatılması veya yeniden açılması için işlenmesi: bu, bir yama yayınlanana kadar uyarıların artık uyku moduna alınabileceği ve hem mevcut hem de gelecekteki uyarılar için geçerli olan kurallar nedeniyle daha fazla sayıda mevcut uyarının aynı anda ele alınabileceği anlamına gelir bildirimler.
Özelliğin bu ilk beta sürümü, uyarıları göz ardı etmek veya bir yama yayınlanana kadar erteleme modunu kullanmak için uygun veri havuzu düzeyindeki kuralları kullanabilir. Yakında kuralları kurumsal düzeyde de yönetmek mümkün olacak. Her iki durumda da bu kullanılır auto-dismiss-Yönetmelikler.
Bu otomatik değerlendirme kuralı, bir yama mevcut olana kadar belirli Dependabot uyarılarını göz ardı edecek şekilde tasarlanmıştır.
(Resim: GitHub)
Kural oluşturma kriterlerinden biri, örneğin, özelliktir. severityCVSS temel puanına göre bir güvenlik uyarısının ciddiyetini temsil eden – low, medium, high VEYA critical.
Kamu arşivleri için ücretsiz
Özel otomatik değerlendirme kurallarının kullanımı tüm genel GitHub depolarında ücretsizdir. Özel depolar için bunlar GitHub Gelişmiş Güvenlik hizmetinin bir parçası olarak mevcuttur. Yanlış pozitif npm-devDependeency güvenlik uyarılarının otomatik olarak bastırılması gibi GitHub tarafından seçilmiş tercihler, tüm depolardaki tüm GitHub kullanıcıları için ücretsizdir.
Dependabot’un yeni otomatik önceliklendirmesine ilişkin tüm ayrıntıları bir blog yazısında bulabilirsiniz.
(Mayıs)
Haberin Sonu
Duyuru
Güvenlik uyarılarının otomatik değerlendirmesi
Dependabot, Alert Rules Engine beta programının Mayıs 2023’te başlatılmasından bu yana, npm devDependeency’lere yönelik yanlış pozitif uyarıları filtrelemek için GitHub tarafından seçilen kuralları uygulayabiliyor. Yeni otomatik önceliklendirme kurallarının bir parçası olarak, otomatikleştirme için özel kurallar ayarlamak artık mümkün. Dependabot uyarılarının otomatik olarak kapatılması veya yeniden açılması için işlenmesi: bu, bir yama yayınlanana kadar uyarıların artık uyku moduna alınabileceği ve hem mevcut hem de gelecekteki uyarılar için geçerli olan kurallar nedeniyle daha fazla sayıda mevcut uyarının aynı anda ele alınabileceği anlamına gelir bildirimler.
Özelliğin bu ilk beta sürümü, uyarıları göz ardı etmek veya bir yama yayınlanana kadar erteleme modunu kullanmak için uygun veri havuzu düzeyindeki kuralları kullanabilir. Yakında kuralları kurumsal düzeyde de yönetmek mümkün olacak. Her iki durumda da bu kullanılır auto-dismiss-Yönetmelikler.
Bu otomatik değerlendirme kuralı, bir yama mevcut olana kadar belirli Dependabot uyarılarını göz ardı edecek şekilde tasarlanmıştır.
(Resim: GitHub)
Kural oluşturma kriterlerinden biri, örneğin, özelliktir. severityCVSS temel puanına göre bir güvenlik uyarısının ciddiyetini temsil eden – low, medium, high VEYA critical.
Kamu arşivleri için ücretsiz
Özel otomatik değerlendirme kurallarının kullanımı tüm genel GitHub depolarında ücretsizdir. Özel depolar için bunlar GitHub Gelişmiş Güvenlik hizmetinin bir parçası olarak mevcuttur. Yanlış pozitif npm-devDependeency güvenlik uyarılarının otomatik olarak bastırılması gibi GitHub tarafından seçilmiş tercihler, tüm depolardaki tüm GitHub kullanıcıları için ücretsizdir.
Dependabot’un yeni otomatik önceliklendirmesine ilişkin tüm ayrıntıları bir blog yazısında bulabilirsiniz.
(Mayıs)
Haberin Sonu