Esta versión de GitHub Enterprise se discontinuó el 2021-09-23. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Habilitar las alertas para las dependencias vulnerables en GitHub Enterprise Server

Puedes conectar a tu instancia de GitHub Enterprise Server con Nube de GitHub Enterprise y habilitar la gráfica de dependencias y el Dependabot en los repositorios de tu instancia.

Site administrators for GitHub Enterprise Server who are also owners of the connected Nube de GitHub Enterprise organization or enterprise account can enable the dependency graph and Dependabot alerts on GitHub Enterprise Server.

Acerca de las alertas para las dependencias vulnerables en GitHub Enterprise Server

Para identificar las dependencias vulnerables en tu repositorio y recibir alertas sobre las vulnerabilidades, necesitas habilitar dos características de seguridad:

  • La gráfica de dependencias
  • Las alertas del Dependabot

Para obtener más información, consulta las secciones "Acerca de la gráfica de dependencias" y "Acerca de las alertas para las dependencias vulnerables".

Agregamos vulnerabilidades a la GitHub Advisory Database desde las siguientes fuentes:

Puedes conectar a tu instancia de GitHub Enterprise Server a GitHub.com y luego sincronizar los datos de vulnerabilidades a tu instancia y generar Las alertas del dependabot en los repositorios con dependencias vulnerables.

Después de conectar tu instancia de GitHub Enterprise Servera GitHub.com y habilitar la gráfica de dependencias y las Las alertas del dependabot para las dependencias vulnerables, los datos de vulnerabilidad se sincronizan desde GitHub.com a tu instancia una vez cada hora. También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. No se han cargado códigos o información sobre el código desde tu instancia de GitHub Enterprise Server hasta GitHub.com.

Cuando tu instancia de GitHub Enterprise Server recibe información sobre una vulnerabilidad, identificará los repositorios en tu instancia que utilicen la versión afectada de la dependencia y generará Las alertas del dependabot. Puedes personalizar la forma en la que recibes las Las alertas del dependabot. Para obtener más información, consulta la sección "Configurar notificaciones para las dependencias vulnerables".

Before enabling the dependency graph and Dependabot alerts for vulnerable dependencies on tu instancia de GitHub Enterprise Server, you must connect tu instancia de GitHub Enterprise Server to GitHub.com. For more information, see "Connecting your enterprise account to Nube de GitHub Enterprise."

Habilitar la gráfica de dependencias y las Las alertas del dependabot en GitHub Enterprise Server

Para que tu instancia de GitHub Enterprise Server genere Las alertas del dependabot cada que las vulnerabilidades se detecten en tus repositorios:

Habilitar la gráfica de dependencias

  1. Ingresa en tu instancia de GitHub Enterprise Server a través de http(s)://HOSTNAME/login.

  2. En el shell administrativo, habilita la gráfica de dependencias en tu instancia de GitHub Enterprise Server:

    $ ghe-config app.github.dependency-graph-enabled true

    Nota: Para obtener más información acerca de cómo habilitar el acceso al shell administrativo por SSH, consulta la sección "Acceder al shell administrativo (SSH)".

  3. Aplica la configuración

    $ ghe-config-apply
  4. Regresa a GitHub Enterprise Server.

Habilitar Las alertas del dependabot

Antes de habilitar Las alertas del dependabot para tu instancia, necesitas habilitar la gráfica de dependencias. Para obtener más información, consulta la sección anterior.

  1. En la esquina superior derecha de GitHub Enterprise Server, da clic en tu foto de perfil y luego en Configuración de empresa. "Configuración de empresa" en el menú desplegable de la foto de perfil en GitHub Enterprise Server

  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones). Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa

  3. En la barra lateral izquierda, haz clic en GitHub Connect. GitHub Connect tab in the business account settings sidebar

  4. Debajo de "Los repositorios pueden escanearse par encontrar vulnerabilidades", utiliza el menú desplegable y selecciona Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, selecciona Habilitado con notificaciones. Menú desplegable para habilitar el escaneo de repositorios para buscar vulnerabilidades

    Te recomendamos configurar las Las alertas del dependabot sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de algunos días, puedes habilitar las notificaciones para recibir las Las alertas del dependabot como de costumbre.

Ver las dependencias vulnerables en GitHub Enterprise Server

Puedes ver todas las vulnerabilidades en tu instancia de GitHub Enterprise Server y sincronizar en forma manual los datos de vulnerabilidad desde GitHub.com para actualizar la lista.

  1. Desde una cuenta administrativa en GitHub Enterprise Server, da clic en la esquina superior derecha de cualquier página. Ícono de cohete para acceder a las configuraciones de administrador del sitio
  2. En la barra lateral izquierda, haz clic en Vulnerabilities (Vulnerabilidades). Pestaña de vulnerabilidades de la barra lateral del administrador del sitio
  3. Para sincronizar los datos de vulnerabilidades, haz clic en Sync Vulnerabilities now (Sincronizar vulnerabilidades ahora). Botón de Sincronizar vulnerabilidades ahora