我有一個使用 ReactJS 的存盤庫,當我在 master 分支上時,它有 39 個漏洞(所有這些漏洞都在 yarn.lock 檔案中)。Dev 分支和其他一些分支在這個 master 之前提交了更多的提交,并且有更多的依賴項,其中大多數現在已經過時了。但是,即使我在 GitHub 上切換分支(當我切換到 Dev 或其他的時候),它仍然顯示相同的 39 個漏洞。
那么,這是否意味著 GitHub 在所有分支中都顯示了整個專案的漏洞?我是否必須設定一些設定才能僅查看當前分支的警報/漏洞?或者這是否意味著所有分支都具有相同的漏洞?
提前致謝。
uj5u.com熱心網友回復:
最后我檢查了一下,默認情況下,Dependabot 只檢查默認分支中是否存在漏洞,而 Dependency Review 應該可以幫助您防止向其他分支添加新漏洞。
我不知道 GitHub 安全面板中的分支過濾器。建議嘗試將漏洞計數保持在 0。
您可以使用dependabot.yml 組態檔來添加額外的拉取請求目標分支。如果已配置,Dependabot 還將監視這些分支并根據它們發出警報。
鑒于現在發現了許多漏洞,在開發分支中修復它們并等待下一個發布視窗修補它們的策略是一種非常冒險的策略。您需要定期修復您的主分支和生產環境并保持低漏洞數量。
示例配置:
update_configs:
- package_manager: java
target_branch: java8
- package_manager: java
target_branch: java11
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/446510.html