Sobre alertas para dependências vulneráveis no GitHub Enterprise Server
Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:
- A Base de Dados de Vulnerabilidade Nacional
- Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
- Consultorias de segurança relatadas em GitHub
- O banco de dados de Consultorias de segurança de npm
Você pode conectar your GitHub Enterprise Server instance a GitHub.com e, em seguida, sincronizar os dados de vulnerabilidade na instância e gerar Dependabot em repositórios com uma dependência vulnerável.
Depois de conectar your GitHub Enterprise Server instance a GitHub.com e habilitar Dependabot para dependências vulneráveis, os dados de vulnerabilidade serão sincronizados de GitHub.com para a sua instância uma vez por hora. Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Nenhum código ou informações sobre o código da your GitHub Enterprise Server instance são carregados para o GitHub.com.
When your GitHub Enterprise Server instance receives information about a vulnerability, it will identify repositories in your instance that use the affected version of the dependency and generate security alerts. Você pode personalizar a forma como recebe os alertas de segurança. Para obter mais informações, consulte "Escolher o método de entrega das suas notificações".
Habilitar alertas de segurança para dependências vulneráveis no GitHub Enterprise Server
Antes de habilitar Dependabot de dependências vulneráveis em your GitHub Enterprise Server instance, você deve conectar your GitHub Enterprise Server instance a GitHub.com. Para obter mais informações, consulte "Conectar o GitHub Enterprise Server ao GitHub Enterprise Cloud".
-
Faça login no your GitHub Enterprise Server instance em
http(s)://HOSTNAME/login
. -
No shell administrativo, habilite os alertas de segurança de dependências vulneráveis em your GitHub Enterprise Server instance:
$ ghe-dep-graph-enable
Observação: Para obter mais informações sobre como habilitar o acesso ao shell administrativo via SSH, veja "Acessar o shell administrativo (SSH)".
-
Retornar para
GitHub Enterprise Server.
1. Acesse a conta corporativa visitando https://HOSTNAME/enterprises/ENTERPRISE-NAME
, substituindo HOSTNAME
pelo nome de host da sua instância e ENTERPRISE-NAME
pelo nome da conta da sua empresa.
-
Na barra lateral da conta corporativa, clique em Settings.
-
Na barra lateral esquerda, clique em GitHub Connect.
-
Em "Repositories can be scanned for vulnerabilities" (Verificar vulnerabilidades nos repositórios), use o menu suspenso e clique em Enabled (Habilitado).
Exibir dependências vulneráveis no GitHub Enterprise Server
Você pode exibir todas as vulnerabilidades na your GitHub Enterprise Server instance e sincronizar manualmente os dados de vulnerabilidade do GitHub.com para atualizar a lista.
- From an administrative account on GitHub Enterprise Server, click in the upper-right corner of any page.
- Na barra lateral esquerda, clique em Vulnerabilities (Vulnerabilidades).
- Para sincronizar os dados de vulnerabilidade, clique em Sync Vulnerabilities now (Sincronizar vulnerabilidades agora).