AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

GitHub Dependabot 新增自定义自动诊断规则支持,以减少误报

  • 2023-10-08
    北京
  • 本文字数:799 字

    阅读完需:约 3 分钟

大小:421.64K时长:02:23
GitHub Dependabot新增自定义自动诊断规则支持,以减少误报

几个月前,GitHub推出了Dependabot告警自动排除(auto-dismiss)策略,以减少误报。现在,GitHub 又添加了自定义规则支持,让开发人员可以定义自动排除和重新打开告警的标准

 

虽然像 Dependabot 这样的解决方案,承诺通过自动识别项目依赖项中的漏洞来帮助提高安全性,但这一切都是有代价的。这可能会增加 Dependabot 的误报数量,即告警不是实际的威胁,但开发人员还是需要手动评估和诊断。误报包括不太可能被利用的漏洞,或者与长时间运行的构建或测试相关的系统小故障。

 

事实上,这就是“告警疲劳(alert fatigue)”概念的由来。然而,根据 GitHub 的数据,至少十分之一的告警是误报。矛盾的是,告警疲劳可能会分散开发人员的注意力,使他们无法解决真正的漏洞。为了缓解这种情况,GitHub 引入了一些通用策略,旨在通过忽略开发阶段所使用的依赖项(在 npm 世界中也称为devDependencies)中存在的低影响问题来减少误报数量。

 

这一新特性受到了开发人员的广泛欢迎,受此鼓舞,GitHub 现在通过定义自定义规则来控制 Dependabot 如何自动排除告警,在缓解告警疲劳的道路上更进一步。该特性包括两个新选项,它们将取消告警,或使告警无限期休眠或直到有补丁可用。

 

在定义规则时,开发人员指定一组标准来确定何时应用规则。这包括包名、漏洞严重性、生态系统、清单文件、范围和安全建议。当规则匹配时,告警将被无限期地解除,或者直到有补丁可用为止。

 

在这个最初的版本中,规则还需要逐个存储库定义,很快,GitHub 就会提供组织级的规则。将来,自动排除规则将扩展可使用的元数据以及可用的修复流。

 

自定义自动诊断规则在所有公共存储库上都是免费的,而在私有存储库上使用则需要付费。

 

Dependabot于2019年推出,能够扫描项目的依赖项以查找任何漏洞,并自动为每个依赖项创建PR,让维护人员通过简单地合并这些 PR 就可以完成安全漏洞的修复。

 

原文链接:

https://www.infoq.com/news/2023/09/GitHub-dependabot-auto-triage/

2023-10-08 08:003951

评论

发布
暂无评论
发现更多内容

1024,我们干了点儿大事 | StarRocks 2.4 新版本特性介绍

StarRocks

数据库

最短的桥

掘金安东尼

算法 10月月更

微信小程序wx.getLocation审核不通过的解决方法

源字节1号

前端开发 小程序开发

java培训哪家比较靠谱

小谷哥

长安链源码分析之交易过程分析(6)

百度前端高频react面试题总结

beifeng1996

React

一天梳理完React所有面试考察知识点

beifeng1996

React

长安链源码分析之交易过程分析(7)

前端培训机构包就业靠谱吗?

小谷哥

杨帆:拆解研发流程,做好探索型项目的过程管理丨声网开发者创业讲堂 • 第 5 期

声网

技术管理 人工智能’

百度搜索业务交付无人值守实践与探索

百度Geek说

Pytho 企业号十月 PK 榜 智能测试

java开发培训机构要怎么谨慎选择

小谷哥

一道React面试题把我整懵了

beifeng1996

React

倒计时第1天!2022 XDR网络安全运营新理念峰会即将开幕

未来智安XDR SEC

网络安全

SpringCloud-05 Hystrix学习笔记

游坦之

10月月更

盘它!基于CANN的辅助驾驶AI实战案例,轻松搞定车辆检测和车距计算!

华为云开发者联盟

人工智能 华为云 辅助驾驶 企业号十月 PK 榜

大数据培训学习就业难吗

小谷哥

vue面试之Composition-API响应式包装对象原理

bb_xiaxia1998

Vue

web前端开发培训女生学习怎么样

小谷哥

请求投放个性化广告时,如何征得用户同意?

HarmonyOS SDK

广告

从输入URL到渲染的过程中到底发生了什么?

loveX001

JavaScript

一次 Redis 事务使用不当引发的生产事故

悟空聊架构

redis 事务 悟空聊架构 10月月更 @Transactional

web技术分享| 虚拟 tree

anyRTC开发者

Vue 前端 Web tree antDesign vue

React源码分析5-commit

goClient1992

React

腾讯前端常考vue面试题整理

bb_xiaxia1998

Vue

长安链源码分析之交易过程分析(5)

React源码分析6-hooks源码

goClient1992

React

使用注解 @requires 给 SAP CAP CDS 模型添加权限控制

汪子熙

云原生 CAP Cloud SAP 10月月更

快递单信息抽取【二】基于ERNIE1.0至ErnieGram + CRF预训练模型

汀丶人工智能

nlp 算法、

关于JavaScript的本地存储方案

CoderBin

JavaScript 前端 LocalStorage 本地存储 10月月更

SpringCloud-04 Feign学习笔记

游坦之

10月月更

GitHub Dependabot新增自定义自动诊断规则支持,以减少误报_DevOps & 平台工程_Sergio De Simone_InfoQ精选文章