产品战略专家梁宁确认出席AICon北京站,分享AI时代下的商业逻辑与产品需求 了解详情
写点什么

GitHub Dependabot 新增自定义自动诊断规则支持,以减少误报

  • 2023-10-08
    北京
  • 本文字数:799 字

    阅读完需:约 3 分钟

大小:421.64K时长:02:23
GitHub Dependabot新增自定义自动诊断规则支持,以减少误报

几个月前,GitHub推出了Dependabot告警自动排除(auto-dismiss)策略,以减少误报。现在,GitHub 又添加了自定义规则支持,让开发人员可以定义自动排除和重新打开告警的标准

 

虽然像 Dependabot 这样的解决方案,承诺通过自动识别项目依赖项中的漏洞来帮助提高安全性,但这一切都是有代价的。这可能会增加 Dependabot 的误报数量,即告警不是实际的威胁,但开发人员还是需要手动评估和诊断。误报包括不太可能被利用的漏洞,或者与长时间运行的构建或测试相关的系统小故障。

 

事实上,这就是“告警疲劳(alert fatigue)”概念的由来。然而,根据 GitHub 的数据,至少十分之一的告警是误报。矛盾的是,告警疲劳可能会分散开发人员的注意力,使他们无法解决真正的漏洞。为了缓解这种情况,GitHub 引入了一些通用策略,旨在通过忽略开发阶段所使用的依赖项(在 npm 世界中也称为devDependencies)中存在的低影响问题来减少误报数量。

 

这一新特性受到了开发人员的广泛欢迎,受此鼓舞,GitHub 现在通过定义自定义规则来控制 Dependabot 如何自动排除告警,在缓解告警疲劳的道路上更进一步。该特性包括两个新选项,它们将取消告警,或使告警无限期休眠或直到有补丁可用。

 

在定义规则时,开发人员指定一组标准来确定何时应用规则。这包括包名、漏洞严重性、生态系统、清单文件、范围和安全建议。当规则匹配时,告警将被无限期地解除,或者直到有补丁可用为止。

 

在这个最初的版本中,规则还需要逐个存储库定义,很快,GitHub 就会提供组织级的规则。将来,自动排除规则将扩展可使用的元数据以及可用的修复流。

 

自定义自动诊断规则在所有公共存储库上都是免费的,而在私有存储库上使用则需要付费。

 

Dependabot于2019年推出,能够扫描项目的依赖项以查找任何漏洞,并自动为每个依赖项创建PR,让维护人员通过简单地合并这些 PR 就可以完成安全漏洞的修复。

 

原文链接:

https://www.infoq.com/news/2023/09/GitHub-dependabot-auto-triage/

2023-10-08 08:003877

评论

发布
暂无评论
发现更多内容

流动性生态协议MTMT正式登陆MEXC,将在5月13日开启交易

股市老人

从Penpad 到 Pencils Protocol,加密品牌全面升级

股市老人

输出4种波形的函数信号发生器

梦笔生花

51单片机

玩转数据之使用ElasticSearch搭建RAG

数由科技

人工智能 elasticsearch LLM rag reranker

TiDB + ES:转转业财系统亿级数据存储优化实践

PingCAP

数据库 TiDB

如何在Linux中映射LUN、磁盘、LVM和文件系统

百度搜索:蓝易云

云计算 Linux 运维 云服务器 lvm

在RHEL配置网络绑定(成组)

百度搜索:蓝易云

云计算 Linux 运维 云服务器 RHEL

腾讯、阿里、B站最新面经汇总,有的妥妥的凉经。

王中阳Go

Go golang 面试 面试题 大厂面经

编程技巧:什么是JavaScript递归

高端章鱼哥

从Penpad 到 Pencils Protocol,加密品牌全面升级

大瞿科技

从Penpad 到 Pencils Protocol,加密品牌全面升级

加密眼界

Docker 直接运行一个 Alpine 镜像

HoneyMoose

香港云服务器有什么用

百度搜索:蓝易云

云计算 Linux 运维 云服务器 香港云服务器

PingCAP 戴涛:构建面向未来的金融核心系统

PingCAP

数据库 TiDB

Docker启动容器报错:cannot allocate memory: unknown

百度搜索:蓝易云

Docker 云计算 Linux 运维 云服务器

如何配置docker或者k8s拉取https私人镜像仓库

百度搜索:蓝易云

Docker 云计算 Linux Kubernetes 云服务器

LLM-结合三元组SPO和提示工程来试用Baichuan2-7B-Chat-4bits模型

alexgaoyh

ubuntu LLM 提示工程 SPO Baichuan2-7B-Chat-4bits

亿级流量下通用的高并发架构设计

博文视点Broadview

从Penpad 到 Pencils Protocol,加密品牌全面升级

石头财经

Penpad 品牌升级为Pencils Protocol,提供用户“一鱼多吃”

BlockChain先知

从 Oracle 到 TiDB,国有大行打造本地生活 APP 新体验

PingCAP

数据库 数据管理 TiDB 本地生活

ChatGPT助您打造个性化简历:个人品牌升级攻略

霍格沃兹测试开发学社

活动预告|“AI+Security”系列第1期:大模型&网络空间安全前沿探索活动火热报名中

云起无垠

GitHub Dependabot新增自定义自动诊断规则支持,以减少误报_DevOps & 平台工程_Sergio De Simone_InfoQ精选文章