Эта версия GitHub Enterprise Server была прекращена 2024-12-19. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Включение Dependabot для предприятия

Пользователи могут находить и устранять уязвимости в зависимостях кода с помощью настройки Dependabot alerts и Dependabot updates.

Кто может использовать эту функцию?

Enterprise owners can set up Dependabot.

В этой статье

Сведения о Dependabot для GitHub Enterprise Server

Dependabot помогает пользователям находить и устранять уязвимости в их зависимостях. должен сначала настроить Dependabot для вашего предприятия, а затем может включить Dependabot alerts для уведомления пользователей о уязвимых зависимостях и Dependabot updates для исправления уязвимостей и сохранения зависимостей до последней версии.

Dependabot — это только одна из многих функций, доступных для обеспечения безопасности цепочки поставок для GitHub. Дополнительные сведения о других функциях см. в разделе Сведения о безопасности цепочки поставок для вашего предприятия.

Сведения о Dependabot alerts

При использовании Dependabot alertsGitHub определяет небезопасные зависимости в репозиториях и создает оповещения для GitHub Enterprise Server, используя данные из GitHub Advisory Database и службы граф зависимостей.

Мы добавляем советы в GitHub Advisory Database из следующих источников.

Если вы знаете другую базу данных, из которую мы должны импортировать рекомендации, сообщите нам об этом, открыв проблему в https://github.com/github/advisory-database.

После настройки настроив Dependabot для вашего предприятия, данные уязвимости синхронизируются с GitHub Advisory Database с экземпляром каждый час. Синхронизируются только советы, проверенные GitHub. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Вы также можете в любое время синхронизировать данные уязвимостей вручную. Дополнительные сведения см. в разделе Просмотр данных об уязвимостях для организации.

Note

Если включить Dependabot alerts, код или сведения о коде из GitHub Enterprise Server передаются в GitHub.com или GHE.com.

Когда GitHub Enterprise Server получает сведения об уязвимости, он определяет репозитории, использующие затронутую версию зависимости и генерирующие Dependabot alerts. Вы можете выбрать, следует ли автоматически уведомлять пользователей о новых Dependabot alerts.

Для репозиториев с включенными Dependabot alerts сканирование активируется при любой отправке в ветвь по умолчанию, которая содержит файл манифеста или файл блокировки. Кроме того, при добавлении новой записи уязвимостей GitHub Enterprise Server сканирует все существующие репозитории и создает оповещения для любого репозитория, который уязвим. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

Сведения о Dependabot updates

После включения Dependabot alerts можно включить Dependabot updates. Если для Dependabot updates включены GitHub Enterprise Server, пользователи могут настроить репозитории, чтобы их зависимости обновлялись и сохранялись автоматически.

Note

Dependabot updates для GitHub Enterprise Server требуется GitHub Actions с локальными средствами выполнения.

По умолчанию средствам выполнения тестов GitHub Actions, используемым Dependabot, требуется доступ к Интернету, чтобы скачивать обновленные пакеты из вышестоящих диспетчеров пакетов. Для Dependabot updates на платформе GitHub Connect доступ к Интернету предоставляет средствам выполнения тестов маркер, который позволяет получить доступ к зависимостям и рекомендациям, размещенным на GitHub.com.

Вы можете включить Dependabot updates для конкретных частных реестров в экземплярах GitHub Enterprise Server с ограниченным доступом к Интернету или нет. Дополнительные сведения см. в разделе Настройка Dependabot для работы с ограниченным доступом к Интернету.

При использовании Dependabot updates GitHub автоматически создает запросы на вытягивание для обновления зависимостей двумя способами.

  • Dependabot version updates: пользователи добавляют в репозиторий файл конфигурации Dependabot, чтобы разрешить Dependabot создавать запросы на вытягивание при выпуске новой версии отслеживаемой зависимости. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.
  • Dependabot security updates: пользователи переключают параметр репозитория, чтобы разрешить Dependabot создавать запросы на вытягивание, когда GitHub обнаруживает уязвимость в одной из зависимостей графа зависимостей для репозитория. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

Включение Dependabot alerts

Прежде чем включить Dependabot alerts, необходимо сначала настроить Dependabot для вашего предприятия:

  1. В правом верхнем углу GitHub Enterprise Serverщелкните фото профиля, а затем выберите параметры Enterprise.

    Снимок экрана: раскрывающееся меню, отображаемое при щелчке фото профиля на GitHub Enterprise Server. Описан параметр "Параметры предприятия".

  2. На боковой панели учетной записи предприятия щелкните GitHub Connect.

  3. В разделе "Dependabot" справа от "Периодически скачайте GitHub Advisory Database для того, чтобы пользователи могли получать оповещения об уязвимостях для зависимостей кода открытый код", выберите раскрывающееся меню и нажмите кнопку "Включить" без уведомлений. При необходимости, чтобы включить оповещения с уведомлениями, нажмите Включено с уведомлениями.

    Снимок экрана: раскрывающееся меню "Включить" для Dependabot alerts, в котором показаны доступные параметры.

    Note

    Этот параметр управляет только электронной почтой в режиме реального времени и веб-уведомления. Предупреждения интерфейса командной строки и дайджесты электронной почты по-прежнему будут доставлены независимо от выбранного параметра.

    Tip

    Рекомендуется настроить Dependabot alerts без уведомлений в течение первых нескольких дней, чтобы избежать перегрузки уведомлений в режиме реального времени. Через несколько дней можно включить уведомления для получения Dependabot alerts в обычном режиме.

Теперь вы можете включить Dependabot alerts для всех существующих или новых частных и внутренних репозиториев на странице параметров предприятия для "Код безопасности и анализа". Кроме того, администраторы репозитория и владелец организации могут включать Dependabot alerts для каждого репозитория и организации. Общедоступные репозитории всегда включены по умолчанию. Дополнительные сведения см. в разделе Настройка оповещений Dependabot.

Включение Dependabot updates

Перед включением Dependabot updates:

Dependabot updates не поддерживаются в GitHub Enterprise Server, если ваше предприятие использует кластеризацию.

Note

После включения граф зависимостей можно использовать действие Dependabot. Это действие приведет к возникновению ошибки, если вводятся какие-либо уязвимости или недопустимые лицензии.

  1. Войдите в ваш экземпляр GitHub Enterprise Server по адресу http(s)://HOSTNAME/login.

  2. В учетной записи администратора GitHub Enterprise Server, в правом верхнем углу любой страницы щелкните .

  3. Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта.

  4. На боковой панели " "Администратор сайта" щелкните Консоль управления.

  5. На боковой панели "Параметры" щелкните "Безопасность".

  6. В разделе "Безопасность" выберите Dependabot security updates.

  7. На боковой панели "Параметры" нажмите кнопку "Сохранить параметры".

    Note

    Сохранение параметров в Консоль управления перезапускает системные службы, что может привести к простоям, видимым пользователем.

  8. Подождите завершения запуска конфигурации.

  9. Нажмите Перейти к экземпляру.

  10. Настройте выделенные локальные запуски, чтобы создать запросы на вытягивание, которые будут обновлять зависимости. Это необходимо, так как рабочие процессы используют определенную метку runner. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.

  11. В правом верхнем углу GitHub Enterprise Serverщелкните фото профиля, а затем выберите параметры Enterprise.

    Снимок экрана: раскрывающееся меню, отображаемое при щелчке фото профиля на GitHub Enterprise Server. Описан параметр "Параметры предприятия".

  12. На боковой панели учетной записи предприятия щелкните GitHub Connect.

  13. В разделе "Dependabot" справа от параметра "Пользователи могут выполнять обновление до неуязвимых зависимостей открытого кода" нажмите Включить.

При включении Dependabot alerts следует также учитывать настройку GitHub Actions для Dependabot security updates. Эта функция позволяет разработчикам устранять уязвимости в своих зависимостях. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.

Если требуется повышенная безопасность, рекомендуется настроить Dependabot так, чтобы использовать частные реестры. Дополнительные сведения см. в разделе Настройка доступа к частным реестрам для Dependabot.