Skip to main content

此版本的 GitHub Enterprise 将停止服务 2023-01-18. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

为企业启用 Dependabot

可以通过启用 Dependabot alerts 和 Dependabot updates 让 your GitHub Enterprise Server instance 的用户查找并修复其代码依赖项中的漏洞。

Who can use this feature

Enterprise owners can enable Dependabot.

关于 GitHub Enterprise Server 的 Dependabot

Dependabot 有助于 your GitHub Enterprise Server instance 的用户查找和修复其依赖项中的漏洞。可启用 Dependabot alerts 以通知用户漏洞依赖项,启用 Dependabot updates 以修复漏洞并将依赖项更新到最新版本。

Dependabot 只是可用于增强 your GitHub Enterprise Server instance 供应链安全性的众多功能之一。 有关其他功能的详细信息,请参阅“关于企业的供应链安全性”。

关于 Dependabot alerts

使用 Dependabot alerts,GitHub 可识别存储库中不安全的依赖项,并使用来自 GitHub Advisory Database 和依赖项关系图服务的数据在 your GitHub Enterprise Server instance 上创建警报。

We add advisories to the GitHub Advisory Database from the following sources:

If you know of another database we should be importing advisories from, tell us about it by opening an issue in https://github.com/github/advisory-database.

为企业启用 Dependabot alerts 后,漏洞数据会每小时一次从 GitHub Advisory Database 同步到你的实例。 仅同步 GitHub 审核的公告。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。

您还可以随时选择手动同步漏洞数据。 有关详细信息,请参阅“查看企业的漏洞数据”。

注意:启用 Dependabot alerts 时,不会将来自 your GitHub Enterprise Server instance 的代码或有关代码的信息上传到 GitHub.com。

当 your GitHub Enterprise Server instance 接收到有关漏洞的信息时,它将识别 your GitHub Enterprise Server instance 中使用受影响依赖项版本的存储库,并生成 Dependabot alerts。 可选择是否自动通知用户有关新的 Dependabot alerts。

对于启用了 Dependabot alerts 的存储库,扫描会在任何推送到包含清单文件或锁定文件的默认分支时触发。 此外,当向 your GitHub Enterprise Server instance 添加新漏洞记录时,GitHub Enterprise Server 会扫描 your GitHub Enterprise Server instance 上的所有现有存储库并对任何易受攻击的存储库生成警报。 有关详细信息,请参阅“关于 Dependabot alerts”。

关于 Dependabot updates

Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.

启用 Dependabot alerts 之后,可选择启用 Dependabot updates。 为 your GitHub Enterprise Server instance 启用 Dependabot updates 之后,用户可以配置存储库,以便它们的依赖项自动进行更新并保持安全。

注意:GitHub Enterprise Server 上的 Dependabot updates 需要带自托管运行器的 GitHub Actions。

默认情况下,Dependabot 使用的 GitHub Actions 运行器需要访问 Internet,以便从上游包管理器下载更新的包。 对于由 GitHub Connect 提供支持的 Dependabot updates,Internet 访问权限为运行器提供了一个令牌,允许访问托管在 GitHub.com 上的依赖项和公告。

使用 Dependabot updates,GitHub 将自动创建拉取请求,以两种方式更新依赖项。

  • Dependabot version updates :用户将 Dependabot 配置文件添加到存储库,启用 Dependabot 在发布跟踪依赖项的新版本时创建拉取请求。 有关详细信息,请参阅“关于 Dependabot version updates”。
  • Dependabot security updates :当 GitHub 检测到存储库的依赖项关系图的依赖项之一存在漏洞时,用户切换存储库设置以启用 Dependabot 来创建拉取请求。 有关详细信息,请参阅“关于 Dependabot alerts”和“关于 Dependabot security updates”。

启用 Dependabot alerts

在启用 Dependabot alerts 之前:

  1. 在 GitHub Enterprise Server 的右上角,单击你的个人资料照片,然后单击“企业设置”。 GitHub Enterprise Server 上个人资料照片下拉菜单中的“企业设置” 1. 在企业帐户边栏中,单击 “GitHub Connect”。 企业帐户边栏中的 GitHub Connect 选项卡

  2. 在“可扫描存储库有无漏洞”下,使用下拉菜单,并单击“启用但不通知”。 (可选)要启用警报和通知,请单击“启用并通知”。 用于启用扫描存储库有无漏洞的下拉菜单

    提示:我们建议将 Dependabot alerts 配置为在前几天发出警报但不通知,以避免电子邮件过载。 几天后,可以启用通知,像往常一样接收 Dependabot alerts。

启用 Dependabot alerts 时,还应考虑为 Dependabot security updates 设置 GitHub Actions。 此功能使开发人员可以修复其依赖项中的漏洞。 有关详细信息,请参阅“为企业中的 Dependabot updates 管理自托管运行器”。

如果需要增强安全性,建议将 Dependabot 配置为使用专用注册表。 有关详细信息,请参阅“管理 Dependabot 的加密机密”。