跳转到主要内容
彻底解决依赖漏洞问题。此定时自动化会每周运行你的安全扫描器 (npm auditpip-auditcargo audittrivy) ,将发现结果与已知 CVE 交叉比对,为每个唯一漏洞创建工单,并在有安全升级可用时自动创建修复补丁 PR。

使用此模板

在 Devin 中打开 安全漏洞扫描,并使用默认配置创建此自动化。你可以在保存前按需自定义。

该自动化的作用

安全漏洞扫描自动化让你无需专门投入一名工程师,也能持续掌握基线环境的安全态势。Devin 会执行扫描,对各软件包中的发现结果去重,按 CVSS 评分确定优先级,并区分“升级到安全版本” (自动修复) 和“没有可直接采用的修复方案” (创建工单供人工审查) 。

工作原理

触发器计划事件recurring
  • 事件schedule:recurring
    • 条件
      • rrule 匹配 FREQ=WEEKLY;BYDAY=TU;BYHOUR=9;BYMINUTE=0
Devin 的操作:启动一个包含完整事件上下文的会话,执行下方的提示,并在失败时可选地通知你。

前置条件

示例提示

此模板自带以下提示。点击 使用模板 后,你可以编辑它,也可以保持不变。

设置步骤

  1. 在 Devin 中打开 Automations → Templates
  2. 点击 安全漏洞扫描。系统会打开创建页面,并预先填好此模板。
  3. 连接所有所需集成,如果你还没有安装 MCP 服务器,也请先安装。
  4. 替换触发条件中的所有占位符 (例如,将 your-org/your-repo 替换为你的实际 repo) 。
  5. 检查提示,并根据你团队的语言、规范和护栏进行调整。
  6. 点击 Create automation
大多数自动化模板都包含建议的 ACU 和调用限制,以便在 rollout 初期控制成本。在你对自动化行为足够有信心之前,请先保持这些设置不变;之后再根据你的工作负载提高限制。

何时使用此模板

  • 需要有文档化漏洞管理流程的合规框架 (SOC 2、ISO 27001)
  • 在多个代码仓库中拥有大规模依赖项的企业
  • 曾安装过 Dependabot,如今却对 400 个未处理 PR 置之不理的团队
  • 适用于安全敏感型产品的主动安全治理

自定义建议

  • 选择你的扫描工具:npm auditpip-audittrivygrype 或内部 SCA
  • 将高严重级别的发现项分流到单独的高优先级队列
  • 与你的合规/GRC 平台集成
  • 结合使用 依赖项漏洞扫描器,以更全面地覆盖 GitHub Security Advisories

另请参阅