About alerts for vulnerable dependencies on GitHub Enterprise Server
We add vulnerabilities to the GitHub Advisory Database from the following sources:
- Die National Vulnerability Database (Nationale Sicherheitsrisiken-Datenbank)
- Eine Kombination aus maschinellem Lernen und menschlichem Review zum Erkennen von Sicherheitsrisiken in öffentlichen Commits auf GitHub
- Security advisories reported on GitHub
- FriendsOfPHP For more information, see "About alerts for vulnerable dependencies."
Sie können zwischen Ihre GitHub Enterprise Server-Instanz und GitHub.com eine Verbindung herstellen, dann die Schwachstellendaten mit Ihrer Instanz synchronisieren und Sicherheitsmeldungen in Repositorys generieren, die eine angreifbare Abhängigkeit aufweisen.
Nachdem Sie Ihre GitHub Enterprise Server-Instanz mit GitHub.com verbunden und Sicherheitsmeldungen für angreifbare Abhängigkeiten aktiviert haben, werden die Schwachstellendaten stündlich von GitHub.com mit Ihrer Instanz synchronisiert. Sie können die Schwachstellendaten auch jederzeit manuell synchronisieren. Es werden weder Code noch Informationen zu Code von Ihre GitHub Enterprise Server-Instanz auf GitHub.com hochgeladen.
Wenn Ihre GitHub Enterprise Server-Instanz Informationen zu einer Schwachstelle empfängt, werden die Repositorys in Ihrer Instanz identifiziert, welche die betroffene Version der Abhängigkeit verwenden. Zudem werden Sicherheitsmeldungen an Inhaber und Personen gesendet, die in diesen Repositorys über Administratorzugriff verfügen. Sie können anpassen, wie sie Sicherheitsmeldungen empfangen möchten. For more information, see "About alerts for vulnerable dependencies."
Sicherheitsmeldungen für angreifbare Abhängigkeiten auf GitHub Enterprise Server aktivieren
Bevor Sie Sicherheitsmeldungen für angreifbare Abhängigkeiten auf Ihre GitHub Enterprise Server-Instanz aktivieren, müssen Sie Ihre GitHub Enterprise Server-Instanz mit GitHub.com verbinden. Weitere Informationen finden Sie unter „GitHub Enterprise Server mit GitHub Enterprise Cloud verbinden“.
-
Melde Dich unter
http(s)://HOSTNAME/login
bei Ihre GitHub Enterprise Server-Instanz an. -
Aktivieren Sie in der Verwaltungsshell die Sicherheitsmeldungen für angreifbare Abhängigkeiten auf Ihre GitHub Enterprise Server-Instanz:
$ ghe-dep-graph-enable
-
Kehren Sie zu GitHub Enterprise Server zurück.
-
Klicke in der oberen rechten Ecke einer beliebigen Seite auf .
-
Klicken Sie auf der linken Seitenleiste auf Enterprise.
-
Klicke in der Seitenleiste des Enterprise-Kontos auf Settings (Einstellungen).
-
Klicke auf der linken Seitenleiste auf GitHub Connect.
-
Verwenden Sie unter „Repositories can be scanned for vulnerabilities“ (Repositorys können auf Schwachstellen überprüft werden) das Dropdownmenü, und wählen Sie Enabled (Aktiviert) aus.
Angreifbare Abhängigkeiten auf GitHub Enterprise Server anzeigen
Sie können alle Schwachstellen in Ihre GitHub Enterprise Server-Instanz anzeigen und Schwachstellendaten von GitHub.com manuell synchronisieren, um die Liste zu aktualisieren.
- Klicke in der oberen rechten Ecke einer beliebigen Seite auf .
- Klicken Sie auf der linken Seitenleiste auf Vulnerabilities (Schwachstellen).
- Klicken Sie zum Synchronisieren von Schwachstellendaten auf Sync Vulnerabilities now (Schwachstellen jetzt synchronisieren).