为代码库启用一键依赖项扫描

需要具备"高级安全：管理设置"权限才能修改代码库的高级安全启用状态。导航至特定代码库的设置页面：项目设置 > 代码库 > 选择您的代码库。

如果您使用独立产品，需要先启用代码安全功能。然后导航至"选项"并确认选择"依赖项警报默认设置"。

如果使用捆绑版高级安全，请勾选"扫描默认分支中的易受攻击依赖项"复选框。

接收依赖项扫描结果

在下次针对代码库默认分支运行的管道执行时，高级安全依赖项扫描任务将在管道末尾被注入。依赖项扫描会在几分钟内完成依赖项及相关漏洞的评估。对于没有持续运行CI/CD的代码库，建议安排定期管道运行。

如果任务已存在于管道中，或已通过设置环境变量DependencyScanning.Skip: true来跳过依赖项扫描任务，则注入的任务将被跳过。该环境变量适用于不希望包含在扫描范围内的特定管道。或者，若要在特定管道作业中跳过自动扫描，也可将管道变量dependencyScanningInjectionEnabled设置为false。

任务成功执行后，结果将上传至高级安全功能，开发者可在"代码库 > 高级安全"标签页中查看并修复发现的问题。

此功能还可用于轻松设置依赖项扫描的拉取请求注解。如果为代码库配置了构建验证策略，依赖项扫描也会自动注入到所有针对默认分支的拉取请求中。新发现的注解会在至少完成一次默认分支扫描后直接显示在拉取请求中，而同时存在于两个分支中的发现也会出现在高级安全标签页中。

后续步骤

欢迎尝试此功能！我们的团队正在优化更多高级安全功能的启用体验。如有任何反馈，请直接与我们分享或提交至开发者社区。

了解更多关于高级安全和依赖项扫描的信息。