如何仅查看当前分支的 dependabot 警报?

How to see dependabot alerts only for the current branch?

当我在 master 分支上时,我有一个使用 ReactJS 的存储库并且有 39 个漏洞(所有这些都在 yarn.lock 文件中)。 Dev 分支和其他一些分支在这个 master 之前有更多的提交,并且有更多的依赖关系,其中大部分现在已经过时了。 然而,即使我在 GitHub 上切换分支(当我切换到 Dev 或其他东西时),它仍然显示相同的 39 个漏洞。

那么,这是否意味着 GitHub 显示了整个项目所有分支中的漏洞?我是否必须设置一些设置才能仅查看当前分支的 alerts/vulnerabilities ?或者这是否意味着所有分支都有相同的漏洞?

提前致谢。

我最后检查过,默认情况下,Dependabot 仅检查默认分支的回购漏洞,依赖审查应该可以帮助您防止向其他分支添加新漏洞。

我不知道 GitHub 的安全面板中有分支过滤器。建议尝试将漏洞计数保持在 0。

您可以使用 dependabot.yml 配置文件添加额外的 pull-request 目标分支。如果已配置,Dependabot 还将监视这些分支并根据它们发出警报。

鉴于现在发现了许多漏洞,在开发分支中修复它们并等待下一个版本 window 修补它们的策略是非常冒险的。您需要定期修补您的 master 分支和生产环境,并保持较低的漏洞数量。

示例配置:

update_configs:
  - package_manager: java
    target_branch: java8
  - package_manager: java
    target_branch: java11

找到了处理这种情况的最简单的方法- 转到存储库的“设置”并将默认分支更改为当前分支。这不会影响任何事情,除非你有某种触发器来部署当前的默认分支。

完成后,dependabot 应该能够扫描漏洞并为您提供结果。你想翻多少次都可以。