为 GitHub Enterprise Server 上易受攻击的依赖项启用警报

您可以将您的 GitHub Enterprise Server 实例连接到 GitHub Enterprise Cloud，并为实例仓库中易受攻击的依赖项启用安全警报。

Site administrators for GitHub Enterprise Server who are also owners of the connected GitHub Enterprise Cloud organization or enterprise account can enable security alerts for vulnerable dependencies on GitHub Enterprise Server.

关于 GitHub Enterprise Server 上易受攻击的依赖项的警报

我们从以下来源添加漏洞到 GitHub Advisory Database：

国家漏洞数据库
机器学习和人工审查结合检测 GitHub 上公共提交中的漏洞
GitHub 上报告的安全通告
npm 安全通告数据库更多信息请参阅“关于易受攻击的依赖项的警报”。

您可以将您的 GitHub Enterprise Server 实例连接到 GitHub.com，然后将漏洞数据同步到您的实例，并在包含漏洞依赖项的仓库中生成安全警报。

将您的 GitHub Enterprise Server 实例连接到 GitHub.com 并为易受攻击的依赖项启用安全警报后，每个小时都会将漏洞数据从 GitHub.com 同步到您的实例一次。您还可以随时选择手动同步漏洞数据。代码和关于代码的信息不会从您的 GitHub Enterprise Server 实例上传到 GitHub.com。

当您的 GitHub Enterprise Server 实例接收到有关漏洞的信息时，它将识别实例中使用受影响依赖项版本的仓库，并生成安全警报。您可以自定义接收安全警报的方式。更多信息请参阅“为易受攻击的依赖项配置通知”。

为 GitHub Enterprise Server 上易受攻击的依赖项启用安全警报

对您的 GitHub Enterprise Server 实例上易受攻击的依赖项启用安全警报之前，必须将您的 GitHub Enterprise Server 实例连接到 GitHub.com。更多信息请参阅“将 GitHub Enterprise Server 连接到 GitHub Enterprise Cloud”。

我们建议配置前几天的安全警报不发通知，以避免电子邮件过载。几天后，您可以启用通知，像平常一样接收安全警报。

登录到 http(s)://HOSTNAME/login 上的您的 GitHub Enterprise Server 实例。
在管理 shell 中，对您的 GitHub Enterprise Server 实例上易受攻击的依赖项启用安全警报。
```
$ ghe-dep-graph-enable
```
注：有关启用通过 SSH 访问管理 shell 的更多信息，请参阅“访问管理 shell (SSH)”。
返回到 GitHub Enterprise Server。
访问 https://HOSTNAME/enterprises/ENTERPRISE-NAME，将 HOSTNAME 替换为您的实例的主机名，将 ENTERPRISE-NAME 替换为您的企业帐户的名称，找到您的企业帐户。
在企业帐户侧边栏中，单击 Settings（设置）。
在左侧边栏中，单击 GitHub Connect。
在“Repositories can be scanned for vulnerabilities（可扫描仓库漏洞）”下，使用下拉菜单，并选择 Enabled without notifications（启用但不发通知）。（可选）要启用包含通知的警报，请选择 Enabled with notifications（启用并发通知）。

查看 GitHub Enterprise Server 上易受攻击的依赖项

您可以查看您的 GitHub Enterprise Server 实例中的所有漏洞，然后手动同步 GitHub.com 中的漏洞数据，以更新列表。

从 GitHub Enterprise Server 上的管理帐户，点击任何页面右上角的。
在左侧边栏中，单击 Vulnerabilities。
要同步漏洞数据，请单击 Sync Vulnerabilities now。

还需要帮助？

询问 GitHub 社区联系支持