GitHub的Dependabot安全警报有时可能会变得繁琐,特别是当一个不再使用的废弃项目频繁收到安全咨询时。是否有选项可以禁用主动安全监控?
4个回答
29
打开你的仓库并转到设置。在安全性子菜单中,单击代码安全性和分析。您可以在那里找到dependabot设置,并使用禁用按钮关闭自动建议。
该页面还可通过直接链接https://github.com/<USERNAME>/<REPO>/settings/security_analysis访问,需要将占位符<USERNAME>和<REPO>替换为相应的标识符。
请注意,禁用建议将对软件的安全性产生负面影响,并且应避免用于任何具有生产部署的软件。
- Jobajuba
2
2“Dependabot alerts” 按钮已经被“启用”,但我仍然收到警报电子邮件。为什么? - Marvin Xu
@MarvinXu请看我的回答。我认为那就是原因。 - Hache_raw
3
这是Google的前几个搜索结果.
我厌倦了从 Dependabot 收到的警报。在所有我的存储库中,我已经禁用了 Dependabot 警报。
但我认为我们不是在收到 Dependabot 警报而是在收到拉取请求警报。
即使我们禁用了 Dependabot 警报,它也会继续创建拉取请求。 因为我们确实想要接收拉取请求警报,所以我们会收到它们。
在官方的 Dependabot 存储库中,有人评论如何禁用它,但所有链接都已过时。现在大多数链接都指向文档或与 Dependabot 无关的选项部分。
目前我找到了两种可能的解决方案:
或者
- 删除/截短 Dependabot 配置文件: https://github.com/USERNAME/REPOSITORY/blob/master/.github/dependabot.yml (根据需要更改 USERNAME 和 REPOSITORY)
目前我还没有验证它是否有效,但我认为我将不再收到来自 Dependabot 的 PR,因此我也不会收到邮件。
- Hache_raw
2
谢谢!我明白了!"Dependabot版本更新"和"Dependabot安全更新"是两件不同的事情。因此,即使我已经禁用了"安全更新",我仍然会收到来自Dependabot的PR。 - Marvin Xu
1
Dependabot 版本更新 > 配置 dependabot.yml > open-pull-requests-limit 的文档演示了如何通过将此选项设置为0来禁用版本更新。示例 .github/dependabot.yml 文件内容:
version: 2
updates:
- package-ecosystem: "mix"
directory: "/"
schedule:
interval: "weekly"
# Disable version updates for hex dependencies
open-pull-requests-limit: 0
仅仅从代码库中删除这个文件(正如Github官方文档关于“禁用Dependabot版本更新”所述)对我来说并没有起作用。
- Szymon Jeż
1
Cyberixae的答案应该有效,但如果您在分叉存储库上收到这些警报,则我在这里找到了一个不错的解决方法,它涉及删除不同分支中的dependabot.yml文件,并将该分支设置为默认分支。
- Victor Eke
2
不建议在SmackOvergnome上使用其他网站的解决方案链接。请将链接的解决方案复制/粘贴到您的答案中。谢谢。 - Martin
2@Martin 尽管这个答案包含了一个超链接,但是其余部分已经足够描述一个可行的解决方案。点赞。 - Francois Botha
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 6 如何在GitHub上生成Dependabot徽章?
- 6 GitHub Dependabot是否需要dependabot.yml文件?
- 16 如何通过GitHub API获取Dependabot警报列表?
- 5 忽略 Dependabot 对第三方仓库的通知
- 5 Github Dependabot:如何在另一个分支上运行分析。
- 44 GitHub Dependabot警报:nth-check中无效的正则表达式复杂性
- 3 在 Dependabot 在 Github 上发出警报后,升级特定软件包的 yarn lock。
- 12 如何在GitHub上fork一个非GitHub仓库?
- 3 GitHub仓库的重命名按钮被禁用。
- 26 在Github上如何复制一个私有仓库?