在我看来,您只能在master分支上看到易受攻击的依赖项。我将警报中提到的那些修复在一个单独的分支上,并想检查实际上是否修复了易受攻击的依赖项,所以我真正需要的是能够检查特定分支的警报,这可以完成吗?
答案 0 :(得分:3)
GitHub的安全警报功能的问题在于,它将始终扫描存储库的默认分支。这通常是master分支。因此,GitHub不会识别任何解决其他分支机构安全问题的更改。
您可以将默认分支更改为存储库中的任何分支! 包括您已经完成解决安全问题的工作。
将默认分支更改为完成解析工作的分支后,GitHub的安全警报功能将开始扫描该分支。
您应该会看到已经解决的安全警报消失了。
然后,您可以将默认分支更改回master分支,并且仅在专门解决安全漏洞时才进行更改。
答案 1 :(得分:2)
GitHub报告的security alerts for vulnerable dependencies可能仅对master分支有效。
如果您尚未准备好将修复程序合并到repo的master分支,则一种解决方法是将该分支推送到新的专用(和临时)存储库的master分支,只是为了检查是否在新的仓库上检测到任何新的警报。