在我看来,您只能看到master分支上易受攻击的依赖项。我在单独的分支上修复了警报中提到的那些,并想检查实际上易受攻击的依赖项是否已修复,所以我真正需要的是能够检查特定分支的警报,可以这样做吗?
我遇到了同样的问题。
GitHub 安全警报功能的问题在于它将始终扫描存储库的默认分支。这通常是主分支。因此,GitHub 不会识别为解决其他分支的安全问题而进行的任何更改。
解决方法。
您可以将默认分支更改为存储库中的任何分支!包括您已完成解决安全问题的工作的那个。
- 在 GitHub 上,导航到存储库的主页。
- 在您的存储库名称下,单击设置。
- 在左侧菜单中,单击分支。
- 选择新的默认分支。
将默认分支更改为已完成解析工作的分支后,GitHub 的安全警报功能将开始扫描该分支。
您应该会看到已解决的安全警报消失。
之后,您可以将默认分支更改回主分支,并且仅在专门解决安全漏洞时才更改它。
GitHub 报告的易受攻击依赖项的安全警报可能仅对默认分支有效(通常为master,但您可以更改它(。
如果您尚未准备好将修复合并到存储库的默认分支,一种解决方法是将该分支推送到新专用(和临时(存储库的默认(同样,通常是master(分支,只是为了检查是否在该新存储库中检测到任何新警报。
2020 年 10 月更新,2+ 年后:Michael Greisman 在此 GitHub 社区答案的评论和文档"关于易受攻击依赖项的警报"中指出。
它确认扫描是针对默认分支完成的。
"一旦修复...已合并到默认分支中...GitHub 将安排对项目依赖项的新扫描"。