写点什么

GitHub Dependabot 新增自定义自动诊断规则支持,以减少误报

  • 2023-10-08
    北京
  • 本文字数:799 字

    阅读完需:约 3 分钟

大小:421.64K时长:02:23
GitHub Dependabot新增自定义自动诊断规则支持,以减少误报

几个月前,GitHub推出了Dependabot告警自动排除(auto-dismiss)策略,以减少误报。现在,GitHub 又添加了自定义规则支持,让开发人员可以定义自动排除和重新打开告警的标准

 

虽然像 Dependabot 这样的解决方案,承诺通过自动识别项目依赖项中的漏洞来帮助提高安全性,但这一切都是有代价的。这可能会增加 Dependabot 的误报数量,即告警不是实际的威胁,但开发人员还是需要手动评估和诊断。误报包括不太可能被利用的漏洞,或者与长时间运行的构建或测试相关的系统小故障。

 

事实上,这就是“告警疲劳(alert fatigue)”概念的由来。然而,根据 GitHub 的数据,至少十分之一的告警是误报。矛盾的是,告警疲劳可能会分散开发人员的注意力,使他们无法解决真正的漏洞。为了缓解这种情况,GitHub 引入了一些通用策略,旨在通过忽略开发阶段所使用的依赖项(在 npm 世界中也称为devDependencies)中存在的低影响问题来减少误报数量。

 

这一新特性受到了开发人员的广泛欢迎,受此鼓舞,GitHub 现在通过定义自定义规则来控制 Dependabot 如何自动排除告警,在缓解告警疲劳的道路上更进一步。该特性包括两个新选项,它们将取消告警,或使告警无限期休眠或直到有补丁可用。

 

在定义规则时,开发人员指定一组标准来确定何时应用规则。这包括包名、漏洞严重性、生态系统、清单文件、范围和安全建议。当规则匹配时,告警将被无限期地解除,或者直到有补丁可用为止。

 

在这个最初的版本中,规则还需要逐个存储库定义,很快,GitHub 就会提供组织级的规则。将来,自动排除规则将扩展可使用的元数据以及可用的修复流。

 

自定义自动诊断规则在所有公共存储库上都是免费的,而在私有存储库上使用则需要付费。

 

Dependabot于2019年推出,能够扫描项目的依赖项以查找任何漏洞,并自动为每个依赖项创建PR,让维护人员通过简单地合并这些 PR 就可以完成安全漏洞的修复。

 

原文链接:

https://www.infoq.com/news/2023/09/GitHub-dependabot-auto-triage/

2023-10-08 08:003903

评论

发布
暂无评论
发现更多内容

python爬取下载m3u8加密视频,原来这么简单!

Python研究者

8月日更

架构实战营 毕业总结

Ahu

前端之算法(五)顺序和二分搜索

Augus

数据结构与算法 8月日更

【LeetCode】 礼物的最大价值Java题解

Albert

算法 LeetCode 8月日更

Python Qt GUI设计简介、环境下载和安装(基础篇—1)

不脱发的程序猿

Python qt GUI设计 Qt Company

上游思维的三大障碍

石云升

读书笔记 8月日更 上游思维

kubernetes/k8s CRI 分析 -kubelet 删除 pod 分析

良凯尔

Kubernetes 源码分析 Kubernetes Plugin #Kubernetes# cri-o

智能边缘开源框架Baetyl,构建边缘融合智能应用

百度开发者中心

AI 最佳实践 物联网 边缘计算 开源技术

财富自由的本质及如何实现财富自由?

非著名程序员

认知提升 个人提升 财富自由 8月日更

设计微博系统中”微博评论“的高性能高可用计算架构

智慧源点

架构实战营

网络攻防学习笔记 Day106

穿过生命散发芬芳

网络安全 8月日更

抵制不良饭圈文化,互联网平台应该肩负哪些责任

石头IT视角

netty系列之:对聊天进行加密

程序那些事

Java Netty nio

fil币价格行情怎么样?fil币价值和未来在哪?

fil币价格行情怎么样 fil币价值和未来在哪

设计千万级学生管理系统的考试试卷存储方案

架构0期-Bingo

总结

杰语

Python开发篇——基于React-Dropzone开发上传组件

吴脑的键客

Python flask React

架构实战训练营总结

唐江

架构实战营

如何在二三线城市月薪过万(三)java偏功能实现的面试题,有备无患!!

小鲍侃java

8月日更

拆分电商系统为微服务

thewangzl

架构实战营 模块五作业

孫影

架构实战营 #架构实战营

【Vue2.x 源码学习】第三十六篇 - 组件部分 - Vue.extend 实现

Brave

源码 vue2 8月日更

杂谈:电商平台中的图片资源优化实战

云小梦

CSS JavaScript html5 jpeg 图片处理

架构实战营毕业总结

Saber

架构实战营 毕业总结

FastApi-13-文件上传-1

Python研究所

FastApi 8月日更

架构实战营 | 毕业设计

架构实战营

从0开始的TypeScriptの八:类

空城机

JavaScript typescript 大前端 8月日更

架构实战营模块五作业-微博评论高性能高可用架构

王晓宇

架构实战营

Drools 规则属性

LeifChen

drools 规则引擎 8月日更 规则属性

HarmonyOS组件开发 ScrollView嵌套ListContainer 滑动冲突问题

爱吃土豆丝的打工人

HarmonyOS ScrollView ListContainer 嵌套滑动

极客大学架构实战0期毕业总结

谢博琛

GitHub Dependabot新增自定义自动诊断规则支持,以减少误报_DevOps & 平台工程_Sergio De Simone_InfoQ精选文章