Как увидеть оповещения зависимых ботов только для текущей ветки?
У меня есть репозиторий, который использует ReactJS и имеет 39 уязвимостей (все они находятся в файле yarn.lock), когда я нахожусь в основной ветке. Ветка Dev и несколько других веток намного опережают этот мастер, и есть еще тонна зависимостей, и большинство из них на данный момент устарели. Однако, даже когда я переключаю ветку на GitHub (когда я переключаюсь на Dev или что-то еще), он все равно показывает те же 39 уязвимостей.
Значит ли это, что GitHub показывает уязвимости для всего проекта во всех ветках? Должен ли я установить какой-либо параметр для просмотра предупреждений/уязвимостей только для текущей ветки? Или это означает, что все ветки имеют одинаковые уязвимости?
Заранее спасибо.
Ответы 1
Последнее, что я проверял, Dependabot по умолчанию проверяет только ветку по умолчанию на наличие уязвимостей в репо, и проверка зависимостей должна помочь вам предотвратить добавление новых уязвимостей в другие ветки.
Я не знаю о фильтре веток в панели безопасности в GitHub. Рекомендуется стараться поддерживать количество уязвимостей на уровне 0.
Вы можете использовать файл конфигурации dependabot.yml, чтобы добавить дополнительные целевые ветки запроса на вытягивание. Если это настроено, Dependabot также будет отслеживать эти ветки и оповещать на их основе.
Учитывая, что в настоящее время обнаруживается много уязвимостей, стратегия исправления их в ветке разработки и ожидания следующего окна выпуска для их исправления является очень рискованной. Вы захотите регулярно исправлять основную ветку и производственную среду и поддерживать низкий уровень уязвимостей.
Пример конфигурации:
update_configs:
- package_manager: java
target_branch: java8
- package_manager: java
target_branch: java11