Блог

Используя GitHub Enterprise, можно ли использовать рекомендации по безопасности для частных пакетов NuGet, чтобы частные репозитории, использующие этот пакет, были уведомлены предупреждением безопасности Dependabot?

Я создал и опубликовал рекомендации по безопасности для конкретной версии одного из наших частных пакетов nuget:

Я ожидал, что администраторы репозиториев, зависящих от этого пакета, получат уведомление от Dependabot или, по крайней мере, что уязвимые репозитории будут отображаться при открытии списка открытых рекомендаций по безопасности моих организаций в разделе Зависимости:

Разве невозможно использовать рекомендации по безопасности для частных пакетов, чтобы получать уведомления в частных репозиториях?

Я не запрашивал CVE для этого пакета. Является ли это обязательным для выполнения того, о чем я прошу?

ПРИМЕЧАНИЕ: Этот вопрос также был опубликован в сообществе GitHub месяц назад, но без ответов.