我不确定我的用例是否是一个dependenabot适合的用例,所以希望有人能告诉我它是不是,如果是,请给我一些关于如何做我所描述的事情的文档:
我想创建的工作流程:
- 对每个开发人员拉取请求运行依赖扫描
- dependenabot仅报告新引入或更新的依赖项
- pull请求被任何新的依赖项阻止中等或更高的漏洞
- dependenabot不会因PR扫描而创建PR
这可能吗?
这可以通过依赖项检查操作实现:https://github.com/actions/dependency-review-action
似乎答案是否定的,dependenabot无法做到这一点。
一位同事发现了以下信息:
"可靠警报会发现依赖项中已经存在的漏洞,但避免引入潜在问题比稍后修复问题要好得多">
在此位置:
https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review
在他们的路线图上,github有能力阻止引入易受攻击依赖关系的拉取请求:
https://github.com/github/roadmap/issues/149