Acerca de las alertas para las dependencias vulnerables en GitHub Enterprise Server
Para identificar las dependencias vulnerables en tu repositorio y recibir alertas sobre las vulnerabilidades, necesitas habilitar dos características de seguridad:
- La gráfica de dependencias
- Las alertas del Dependabot
Para obtener más información, consulta las secciones "Acerca de la gráfica de dependencias" y "Acerca de las alertas para las dependencias vulnerables".
Agregamos vulnerabilidades a la GitHub Advisory Database desde las siguientes fuentes:
- La National Vulnerability Database
- Una combinación de aprendizaje automático y revisión humana para detectar vulnerabilidades en confirmaciones públicas en GitHub
- Asesorías de seguridad que se reportan en GitHub
- La base de datos de Asesorías de seguridad de npm database
Puedes conectar a tu instancia de GitHub Enterprise Server a GitHub.com y luego sincronizar los datos de vulnerabilidades a tu instancia y generar Las alertas del dependabot en los repositorios con dependencias vulnerables.
Después de conectar tu instancia de GitHub Enterprise Servera GitHub.com y habilitar la gráfica de dependencias y las Las alertas del dependabot para las dependencias vulnerables, los datos de vulnerabilidad se sincronizan desde GitHub.com a tu instancia una vez cada hora. También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. No se han cargado códigos o información sobre el código desde tu instancia de GitHub Enterprise Server hasta GitHub.com.
Cuando tu instancia de GitHub Enterprise Server recibe información sobre una vulnerabilidad, identificará los repositorios en tu instancia que utilicen la versión afectada de la dependencia y generará Las alertas del dependabot. Puedes personalizar la forma en la que recibes las Las alertas del dependabot. Para obtener más información, consulta la sección "Configurar notificaciones para las dependencias vulnerables".
Before enabling the dependency graph and Dependabot alerts for vulnerable dependencies on tu instancia de GitHub Enterprise Server, you must connect tu instancia de GitHub Enterprise Server to GitHub.com. For more information, see "Connecting your enterprise account to Nube de GitHub Enterprise."
Habilitar la gráfica de dependencias y las Las alertas del dependabot en GitHub Enterprise Server
Para que tu instancia de GitHub Enterprise Server genere Las alertas del dependabot cada que las vulnerabilidades se detecten en tus repositorios:
- Debes conectar a tu instancia de GitHub Enterprise Server con GitHub.com. Para obtener más información, consulta "Conectar GitHub Enterprise Server a Nube de GitHub Enterprise."
- Debes conectar la gráfica de dependencias.
Habilitar la gráfica de dependencias
-
Ingresa en tu instancia de GitHub Enterprise Server a través de
http(s)://HOSTNAME/login
. -
En el shell administrativo, habilita la gráfica de dependencias en tu instancia de GitHub Enterprise Server:
$ ghe-config app.github.dependency-graph-enabled true
Nota: Para obtener más información acerca de cómo habilitar el acceso al shell administrativo por SSH, consulta la sección "Acceder al shell administrativo (SSH)".
-
Aplica la configuración
$ ghe-config-apply
-
Regresa a GitHub Enterprise Server.
Habilitar Las alertas del dependabot
Antes de habilitar Las alertas del dependabot para tu instancia, necesitas habilitar la gráfica de dependencias. Para obtener más información, consulta la sección anterior.
-
En la esquina superior derecha de GitHub Enterprise Server, da clic en tu foto de perfil y luego en Configuración de empresa.
-
En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
-
En la barra lateral izquierda, haz clic en GitHub Connect.
-
Debajo de "Los repositorios pueden escanearse par encontrar vulnerabilidades", utiliza el menú desplegable y selecciona Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, selecciona Habilitado con notificaciones.
Te recomendamos configurar las Las alertas del dependabot sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de algunos días, puedes habilitar las notificaciones para recibir las Las alertas del dependabot como de costumbre.
Ver las dependencias vulnerables en GitHub Enterprise Server
Puedes ver todas las vulnerabilidades en tu instancia de GitHub Enterprise Server y sincronizar en forma manual los datos de vulnerabilidad desde GitHub.com para actualizar la lista.
- Desde una cuenta administrativa en GitHub Enterprise Server, da clic en la esquina superior derecha de cualquier página.
- En la barra lateral izquierda, haz clic en Vulnerabilities (Vulnerabilidades).
- Para sincronizar los datos de vulnerabilidades, haz clic en Sync Vulnerabilities now (Sincronizar vulnerabilidades ahora).