- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我如何在 https://github.com/{user}/{repo}/security/dependabot?page=1&q=is%3Aopen 处获取可用的 Dependabot 警报列表通过 GitHub API?
我搜索了the documentation但在那里找不到任何东西。
谢谢!
最佳答案
有这个RepositoryVulnerabilityAlert对象可用 Graphql API .
例如,对于特定的存储库,您可以通过以下查询获取所有警报(在 the explorer 中查看):
{
repository(name: "repo-name", owner: "repo-owner") {
vulnerabilityAlerts(first: 100) {
nodes {
createdAt
dismissedAt
securityVulnerability {
package {
name
}
advisory {
description
}
}
}
}
}
}
它还返回被解除的警报,可以使用
dismissedAt
发现这些警报。 field 。但似乎没有办法只过滤“事件”警报
{
"data": {
"repository": {
"vulnerabilityAlerts": {
"nodes": [
{
"createdAt": "2018-03-05T19:13:26Z",
"dismissedAt": null,
"securityVulnerability": {
"package": {
"name": "moment"
},
"advisory": {
"description": "Affected versions of `moment` are vulnerable to a low severity regular expression denial of service when parsing dates as strings.\n\n\n## Recommendation\n\nUpdate to version 2.19.3 or later."
}
}
},
....
]
}
}
}
}
关于github - 如何通过 GitHub API 获取 Dependabot 警报列表?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66356337/
我刚收到一个依赖机器人说: Bump three from 0.120.1 to 0.125.0 但是它是否测试这不会破坏我的 repo 协议(protocol)? 它必须在我的 package.js
我们最近从 greenkeeper 切换到 dependabot 以进行依赖项检查,我们注意到 dependabot 正在打开 PR,只更改 package-lock.json,而 package.j
这是我的 dependabot 配置,有什么方法可以排除主要版本更新而只有次要更新、补丁和安全更新吗?如果是这样,我需要更改什么? version: 1 update_configs: - pac
在我今天的一个存储库中,我收到了以下安全通知: The kramdown gem before 2.3.0 for Ruby processes the template option inside
我不确定我的用例是否适合一个 dependabot,所以希望有人能告诉我是否适合,如果适合,请向我指出一些关于如何做我正在做的事情的文档描述: 我想创建的工作流程: 对每个开发者拉取请求运行 depe
我有一个 GitHub 操作,它在 CI 中针对在我的存储库中打开的每个拉取请求运行测试。 作为测试工作流程的一部分,该工作检查了 GitHub 组织中的其他几个存储库(所有这些都是私有(privat
我有一个目录 /experiments在我的 repo 中,其中包含 - 惊喜! - 实验。那些通常自带 package.json其中包括在我进行实验时是最新的依赖项,但现在可能已经过时了。我无意让它
我们已经使用Dependabot和Snyk来检测GitHub托管代码存储库中的漏洞,但它们仅支持我们正在使用的某些当前语言(NodeJS,Java,JavaScript,Kotlin和Swift),所
正如标题所说,在 GitHub 上是否可以手动选择 Dependabot 应针对其打开其 pull 请求的分支? 从我所看到的,它会针对在 repo 设置中设置为主要分支的任何分支打开 PR,但是可以
我需要一些关于 的帮助依赖机器人 .我最近发现了这个惊人的包,但是我的一些存储库需要 的依赖项私有(private)包 ,由我创建并用于我的个人项目。 Dependabot 表示,对于任何使用私有(p
我已经迁移了一个私有(private) GitHub 存储库以使用 new Dependabot (进入 GitHub),现在 Dependabot 徽章在我的 README.md 上显示为非事件状态
我如何在 https://github.com/{user}/{repo}/security/dependabot?page=1&q=is%3Aopen 处获取可用的 Dependabot 警报列表通
我已经按照此处所述为 GitHub Actions 创建了工作流:https://docs.github.com/en/code-security/supply-chain-security/keep
我是一名优秀的程序员,十分优秀!