【发布时间】:2018-05-21 14:02:41
【问题描述】:
在我看来,您只能在 master 分支上看到易受攻击的依赖项。我在一个单独的分支上修复了警报中提到的那些,并想检查是否确实修复了易受攻击的依赖项,所以我真正需要的是能够检查特定分支的警报,可以这样做吗?
【问题讨论】:
标签: github dependencies
【发布时间】:2018-05-21 14:02:41
【问题描述】:
GitHub 报告的security alerts for vulnerable dependencies 可能仅对默认分支有效(通常为master,但you can change it)。
如果您还没有准备好将您的修复合并到您的 repo 的默认分支,一种解决方法是将该分支推送到 new 的默认(同样,通常是 master)分支专用(和临时)存储库,只是为了检查是否在该新存储库中检测到任何新警报。
2 年多后,2020 年 10 月更新:Michael Greisman 指出 in the comments 指向此 GitHub Community answer 和文档“About alerts for vulnerable dependencies”。
它确认扫描是针对默认分支完成的。
“一旦修复......被合并到默认分支...... GitHub 将安排对您项目的依赖项的新扫描”。
【讨论】:
-
不一定是
master分支。扫描是针对存储库的 default 分支进行的。 -
@JaanusVarus 谢谢,那是有道理的。我似乎无法在 help.github.com/en/github/managing-security-vulnerabilities/… 和相关的 GitHub 帮助页面中找到确认信息。
-
他们的文档确实乏善可陈。我的评论只是基于对个人回购的观察。
-
来自 GitHub 工作人员 (lee-dohm) 的 @VonC This GitHub Support Community answer 确认扫描已针对默认分支完成。 “一旦修复......被合并到默认分支......GitHub将安排对您项目的依赖项的新扫描。”
-
@MichaelGreisman 谢谢,好点子。我已将您的评论包含在答案中以提高知名度。
我也有同样的问题。
GitHub 的安全警报功能的问题在于它总是会扫描存储库的默认分支。这通常是主分支。因此,为解决其他分支的安全问题所做的任何更改都不会被 GitHub 识别。
解决方法。
您可以将默认分支更改为存储库中的任何分支! 包括您为解决安全问题所做的工作。
- 在 GitHub 上,导航到存储库的主页。
- 在您的存储库名称下,单击设置。
- 在左侧菜单中,单击分支。
- 选择新的默认分支。
将默认分支更改为已完成解析工作的分支后,GitHub 的安全警报功能将开始扫描该分支。
您应该会看到已解决的安全警报消失了。
之后,您可以将默认分支更改回主分支,并且仅在您专门解决安全漏洞时才更改它。
【讨论】: