GitHub entlastet Entwickler durch automatische Triage-Regeln für Dependabot
Weniger manuelle Arbeit nötig: Dependabot kann nun als Beta-Funktion Warnungen nach benutzerdefinierten Regeln automatisch ignorieren oder pausieren.
GitHub hat ein neues, öffentliches Beta-Feature für seinen Abhängigkeiten-Scanner Dependabot erarbeitet. Er kann nun mithilfe automatischer Triage-Regeln eigenständig mit Sicherheitswarnungen umgehen, nachdem Entwicklerinnen und Entwickler die Regeln nach ihren Ansprüchen definiert haben. Für öffentliche Repositories ist die Funktion kostenfrei einsetzbar.
Automatisierte Triage von Security-Warnungen
Dependabot kann bereits seit dem Start des Beta-Programms der Alert Rules Engine im Mai 2023 von GitHub kuratierte Regeln anwenden, um falsch-positive Warnungen für npm devDependencies zu filtern. Nun lassen sich im Rahmen der neuen Auto-Triage-Regeln auch benutzerdefinierte Regeln für den automatisierten Umgang mit Dependabot-Warnungen festlegen, um diese automatisch zu schließen oder erneut zu öffnen: Damit lassen sich nun auch Warnungen bis zu einem Patch-Release in einen Schlummermodus versetzen und bestehende Warnungen in größerer Anzahl gleichzeitig verwalten, da sich die Regeln sowohl auf vorhandene als auch zukünftige Warnungen beziehen.
Die vorliegende erste Beta-Version der Funktion kann durch entsprechende Regeln auf dem Repository-Level Warnungen ignorieren oder dort bis zum Veröffentlichen eines Patches den Snooze-Modus einsetzen. Bald soll auch das Verwalten von Regeln auf dem Organisationslevel möglich sein. Dazu dient in beiden Fällen die auto-dismiss
-Regelung.
Zu den Kriterien für das Erstellen von Regeln zählt beispielsweise das Attribut severity
, das für die Schwere einer Sicherheitswarnung basierend auf dem CVSS Base Score steht – low
, medium
, high
oder critical
.
Kostenfrei für öffentliche Repositories
Benutzerdefinierte Auto-Triage-Regeln sind für alle öffentlichen GitHub-Repositories kostenfrei verwendbar. Für private Repositories stehen sie als Teil des Dienstes GitHub Advanced Security zur Verfügung. GitHub-kuratierte Voreinstellungen wie das automatische Verwerfen falsch-positiver npm-devDependencies-Sicherheitswarnungen sind für alle GitHub-User in allen Repositories kostenfrei nutzbar.
Alle Details zur neuen automatischen Dependabot-Triage lassen sich einem Blogeintrag entnehmen.
(mai)