关于 GitHub Enterprise Server 上易受攻击的依赖项的警报
我们从以下来源添加漏洞到 GitHub Advisory Database:
- 国家漏洞数据库
- 机器学习和人工审查结合检测 GitHub 上公共提交中的漏洞
- GitHub 上报告的安全通告
- npm 安全通告数据库 更多信息请参阅“关于易受攻击的依赖项的警报”。
您可以将 your GitHub Enterprise Server instance 连接到 GitHub.com,然后将漏洞数据同步到您的实例,并在包含漏洞依赖项的仓库中生成 安全警报。
将 your GitHub Enterprise Server instance 连接到 GitHub.com 并为易受攻击的依赖项启用 安全警报后,每个小时都会将漏洞数据从 GitHub.com 同步到您的实例一次。 您还可以随时选择手动同步漏洞数据。 代码和关于代码的信息不会从 your GitHub Enterprise Server instance 上传到 GitHub.com。
当 your GitHub Enterprise Server instance 接收到有关漏洞的信息时,它将识别实例中使用受影响依赖项版本的仓库,并生成安全警报。 您可以自定义接收安全警报的方式。 更多信息请参阅“选择通知的递送方式”。
为 GitHub Enterprise Server 上易受攻击的依赖项启用安全警报
对 your GitHub Enterprise Server instance 上易受攻击的依赖项启用 安全警报之前,必须将 your GitHub Enterprise Server instance 连接到 GitHub.com。 更多信息请参阅“将 GitHub Enterprise Server 连接到 GitHub Enterprise Cloud”。
-
登录到
http(s)://HOSTNAME/login
上的 your GitHub Enterprise Server instance。 -
在管理 shell 中,对 your GitHub Enterprise Server instance 上易受攻击的依赖项启用 安全警报。
$ ghe-dep-graph-enable
注:有关启用通过 SSH 访问管理 shell 的更多信息,请参阅“访问管理 shell (SSH)”。
-
返回到
GitHub Enterprise Server.
1. 访问 https://HOSTNAME/enterprises/ENTERPRISE-NAME
,将 HOSTNAME
替换为您的实例的主机名,将 ENTERPRISE-NAME
替换为您的企业帐户的名称,找到您的企业帐户。
-
在企业帐户侧边栏中,单击 Settings(设置)。
-
在左侧边栏中,单击 GitHub Connect。
-
在“Repositories can be scanned for vulnerabilities”下,使用下拉菜单,然后选择 Enabled。
查看 GitHub Enterprise Server 上易受攻击的依赖项
您可以查看 your GitHub Enterprise Server instance 中的所有漏洞,然后手动同步 GitHub.com 中的漏洞数据,以更新列表。
- From an administrative account on GitHub Enterprise Server, click in the upper-right corner of any page.
- 在左侧边栏中,单击 Vulnerabilities。
- 要同步漏洞数据,请单击 Sync Vulnerabilities now。