About notifications for Dependabot alerts
When Dependabot detects vulnerable dependencies in your repositories, we generate a Dependabot alert and display it on the Security tab for the repository. GitHub notifies the maintainers of affected repositories about the new alert according to their notification preferences. Dependabot is enabled by default on all public repositories, and needs to be enabled on private repositories. By default, you will receive Dependabot alerts by email. You can override the default overall behavior by choosing the type of notifications you want to receive, or switching notifications off altogether in the settings page for your user notifications at https://github.com/settings/notifications.
Dependabot에서는 맬웨어에 대해 Dependabot alerts을(를) 생성하지 않습니다. 자세한 내용은 GitHub Advisory Database 정보을(를) 참조하세요.
Regardless of your notification preferences, when Dependabot is first enabled, GitHub does not send notifications for all vulnerable dependencies found in your repository. Instead, you will receive notifications for new vulnerable dependencies identified after Dependabot is enabled, if your notification preferences allow it.
If you're an organization owner, you can enable or disable Dependabot alerts for all repositories in your organization with one click. You can also set whether Dependabot alerts will be enabled or disabled for newly-created repositories. For more information, see 조직의 보안 및 분석 설정 관리.
Configuring notifications for Dependabot alerts
When a new Dependabot alert is detected, GitHub notifies all users with access to Dependabot alerts for the repository according to their notification preferences. You will receive alerts if you are watching the repository, have enabled notifications for security alerts or for all the activity on the repository, and are not ignoring the repository. For more information, see 알림 구성.
You can configure notification settings for yourself or your organization from the Manage notifications drop-down shown at the top of each page. For more information, see 알림 구성.
알림에 대한 배달 방법 및 알림이 전송되는 빈도를 선택할 수 있습니다. 기본적으로 다음과 같이 알림을 받습니다.
- 받은 편지함에서 - 웹 알림으로 제공됩니다. 웹 알림은 리포지토리에 대해 Dependabot을 사용하도록 설정하고, 새 매니페스트 파일이 리포지토리에 커밋되고, 심각도가 위험 및 높음인 새로운 취약성이 발견되면 전송됩니다 (GitHub 옵션에서).
- 이메일을 통해서. 리포지토리에 대해 Dependabot이(가) 사용 설정되면 새 매니페스트 파일이 리포지토리로 커밋된 경우 및 심각도가 위험 및 높음인 새로운 취약성이 발견된 경우 이메일이 전송됩니다(이메일 옵션).
- 명령줄에서. 취약한 종속성이 있는 리포지토리에 푸시할 때 경고가 콜백으로 표시됩니다(CLI 옵션).
- GitHub Mobile에서 웹 알림으로. 자세한 내용은 알림 구성을(를) 참조하세요.
참고 항목
메일 및 웹/GitHub Mobile 알림은 다음 기준별로 전송됩니다.
- 리포지토리별. 리포지토리에 대해 Dependabot을 사용하도록 설정한 경우 또는 새 매니페스트 파일이 리포지토리로 커밋된 경우.
- 조직별. 새 취약성이 발견된 경우.
- 새 취약성이 발견된 경우 보냄. GitHub은(는) 취약성이 업데이트되면 알림을 보내지 않습니다.
Dependabot alerts의 알림 방법을 사용자 지정할 수 있습니다. 예를 들어 이메일 주간 요약 옵션을 사용하여 리포지토리의 알림을 최대 10개 요약하는 일간 또는 주간 요약 이메일을 받을 수 있습니다.
참고 항목
You can filter your notifications on GitHub to show Dependabot alerts. For more information, see 받은 편지함에서 알림 관리.
하나 이상의 리포지토리에 영향을 주는 Dependabot alerts에 대한 메일 알림에는 X-GitHub-Severity 헤더 필드가 포함됩니다. X-GitHub-Severity 헤더 필드 값을 사용하여 Dependabot alerts에 대한 메일 알림을 필터링할 수 있습니다. For more information, see 알림 구성.
How to reduce the noise from notifications for Dependabot alerts
If you are concerned about receiving too many notifications for Dependabot alerts, we recommend leveraging Dependabot 자동 심사 규칙 to auto-dismiss low-risk alerts. Rules are applied before alert notifications are sent, so alerts that are auto-dismissed upon creation do not send notifications. For more information, see Dependabot 자동 심사 규칙 정보.
Alternatively, you can opt into the weekly email digest, or even completely turn off notifications while keeping Dependabot alerts enabled. You can still navigate to see your Dependabot alerts in your repository's Security tab. For more information, see Dependabot 경고 보기 및 업데이트.