記事のバージョン: Enterprise Server 2.17
GitHub Enterprise Serverで脆弱性のある依存関係に対するアラートを有効化する
GitHub Enterprise Server インスタンスをGitHub Enterprise Cloudに接続して、インスタンスのリポジトリ内の脆弱性のある依存関係に対するセキュリティアラートを有効化することができます。
GitHub Enterprise Serverの脆弱性のある依存関係に関するセキュリティアラートについて
GitHub Advisory Databaseへの脆弱性の追加には、以下のソースを利用します。
- National Vulnerability Database
- GitHub上のパブリックなコミット内の脆弱性の検出に、機械学習と人間によるレビューの組み合わせ
- GitHub上のセキュリティアドバイザリ
- FriendsOfPHP詳細は、「脆弱性のある依存関係に対するセキュリティアラートについて」を参照してください。
GitHub Enterprise Server インスタンスをGitHub.comに接続して、インスタンスに脆弱性データを同期させ、脆弱性のある依存関係を持つリポジトリ内にセキュリティアラートを生成します。
GitHub Enterprise Server インスタンスを GitHub.comに接続し、脆弱性のある依存関係に関するセキュリティアラートを有効化すると、GitHub.comからのあなたのインスタンスへ、脆弱性データが 1 時間に 1 回同期されます。 また、脆弱性データはいつでも手動で同期することができます。 GitHub Enterprise Server インスタンス からのコードまたはコードに関する情報は、GitHub.com にアップロードされません。
GitHub Enterprise Server インスタンス が脆弱性に関する情報を受信すると、影響を受けるバージョンの依存関係を使用するインスタンス内のリポジトリを識別し、それらのリポジトリ内の管理者アクセス権を持つコードオーナーおよび人にセキュリティアラートを送信します。 セキュリティアラートの受信方法をカスタマイズすることができます。 詳しい情報については脆弱性のある依存関係に対するセキュリティアラートについてを参照してください。
GitHub Enterprise Serverで脆弱性のある依存関係に対するアラートを有効化する
GitHub Enterprise Server インスタンス で脆弱性のある依存関係に対するセキュリティアラートを有効化する前に、GitHub Enterprise Server インスタンス を GitHub.com に接続する必要があります。 詳細は、「GitHub Enterprise ServerをGitHub Enterprise Cloudに接続する」を参照してください。
http(s)://HOSTNAME/login
でGitHub Enterprise Server インスタンスにサインインしてください。- 管理シェルで、GitHub Enterprise Server インスタンス の脆弱性のある依存関係に対するセキュリティアラートを有効化します。
$ ghe-dep-graph-enable
- GitHub Enterprise Serverに戻ります。
- 任意のページの右上で をクリックします。
- 左のサイドバーでEnterpriseをクリックしてください。
- Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
- 左のサイドバーでGitHub Connectをクリックしてください。
- 「Repositories can be scanned for vulnerabilities」で、ドロップダウンメニューを使用して「Enabled」を選択します。
GitHub Enterprise Serverで脆弱性のある依存関係を表示する
GitHub Enterprise Server インスタンスですべての脆弱性を表示し、GitHub.comから脆弱性データを手動で同期して、リストを更新することができます。
- 任意のページの右上で をクリックします。
- 左サイドバーで [Vulnerabilities] をクリックします。
- 脆弱性データを同期するには、[Sync Vulnerabilities now] をクリックします。