0

我不确定我的用例是否适合一个依赖机器人,所以希望有人能告诉我它是否适合,如果是,请向我指出一些关于如何做我所描述的事情的文档:

我想创建以下工作流程:

  1. 对每个开发者拉取请求运行dependabot扫描
  2. dependabot 仅报告新引入或更新的依赖项
  3. 拉取请求被任何具有中等或更高漏洞的新依赖项阻止
  4. 由于 PR 扫描,dependabot 不会创建 PR

这可能吗?

4

1 回答 1

0

似乎答案是否定的,dependabot 无法做到这一点。

一位同事发现了以下信息:

“Dependabot 警报会发现您的依赖项中已经存在的漏洞,但避免引入潜在问题比在以后修复问题要好得多。”

在这个位置:

https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review

并且 github 在他们的路线图上能够阻止引入易受攻击的依赖项的拉取请求:

https://github.com/github/roadmap/issues/149

于 2022-02-10T16:55:14.417 回答