我有一个使用ReactJS的存储库,当我在master分支上时,它有39个漏洞(所有漏洞都在yarn.lock文件中(。Dev分支和其他几个分支比这个主分支提前了很多提交,而且还有很多依赖项,到目前为止,它们中的大多数都已经过时了。然而,即使我在GitHub上切换分支(当我切换到Dev或其他版本时(,它仍然显示出相同的39个漏洞。
那么,这是否意味着GitHub在所有分支中都显示了整个项目的漏洞?我是否必须设置一些设置才能只查看当前分支的警报/漏洞?或者这是否意味着所有分支都有相同的漏洞?
提前谢谢。
找到了处理这种情况的最简单方法-转到";设置";并将默认分支更改为当前分支。除非您有某种触发器来部署当前默认分支,否则这不会影响任何事情。
一旦你完成了这项工作,dependenabot应该能够扫描漏洞并给你结果。你可以随意翻转它多少次。
上次我检查时,默认情况下,可靠仅检查回购的默认分支是否存在漏洞,依赖性审查应帮助您防止向其他分支添加新的漏洞。
我不知道GitHub的安全面板中有分支过滤器。建议您尝试将漏洞计数保持在0。
您可以使用dependenot.yml配置文件来添加额外的拉请求目标分支。如果配置了,可靠还将监视这些分支并根据它们发出警报。
鉴于目前发现了许多漏洞,在开发部门修复这些漏洞并等待下一个发布窗口进行修补的策略是非常危险的。您需要定期修补主分支和生产环境,并保持较低的漏洞数。
示例配置:
update_configs:
- package_manager: java
target_branch: java8
- package_manager: java
target_branch: java11