Esta versión de GitHub Enterprise se discontinuará el 2022-02-16. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Enabling the dependency graph and Dependabot alerts for your enterprise

You can allow users on tu instancia de GitHub Enterprise Server to find and fix vulnerabilities in code dependencies by enabling the dependency graph and Las alertas del dependabot.

Enterprise owners who are also owners of the connected Nube de GitHub Enterprise organization or enterprise account can enable the dependency graph and Las alertas del dependabot on tu instancia de GitHub Enterprise Server.

Acerca de las alertas para las dependencias vulnerables en tu instancia de GitHub Enterprise Server

GitHub identifica las dependencias vulnerables en los repositorios y crea Las alertas del dependabot en tu instancia de GitHub Enterprise Server, utilizando:

  • Datos de la GitHub Advisory Database
  • El servicio de gráfica de dependencias

Para obtener más información acerca de estas características, consulta las secciones "Acerca de la gráfica de dependencias" y "Acerca de las alertas para las dependencias vulnerables".

Acerca de la sincronización de datos desde la GitHub Advisory Database

Agregamos vulnerabilidades a la GitHub Advisory Database desde las siguientes fuentes:

Puedes conectar a tu instancia de GitHub Enterprise Server con el Nube de GitHub Enterprise mediante GitHub Connect. Una vez que se haya conectado, los datos de vulnerabilidades se sincronizan desde la GitHub Advisory Database hacia tu instancia cada hora. También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. No se han cargado códigos o información sobre el código desde tu instancia de GitHub Enterprise Server hasta GitHub.com.

Únicamente se sincronizan las asesorías que revisa GitHub. Para obtener más información sobre los datos de las asesorías, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database" dentro de la documentación de GitHub.com.

Acerca del escaneo de los repositorios con datos sincronizados desde la GitHub Advisory Database

Para los repositorios que cuenten con las Las alertas del dependabot habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Adicionalmente, cuando se agrega un registro de vulnerabilidades nuevo a la instancia, GitHub Enterprise Server escanea todos los repositorios existentes en ella y genera alertas para cualquier repositorio que esté vulnerable. Para obtener más información, consulta la sección "Detección de dependencias vulnerables".

Acerca de la generación de Las alertas del dependabot

Si habilitas la detección de vulnerabilidades, cuando tu instancia de GitHub Enterprise Server reciba información sobre una vulnerabilidad, este identificará a los repositorios de tu instancia que utilicen la versión afectada de la dependencia y genere Las alertas del dependabot. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Las alertas del dependabot nuevas o no.

Habilitar la gráfica de dependencias y las Las alertas del dependabot para las dependencias vulnerables en tu instancia de GitHub Enterprise Server

Prerrequisitos

Para que tu instancia de GitHub Enterprise Server detecte las dependencias vulnerables y genere Las alertas del dependabot:

  • You must enable GitHub Connect. For more information, see "Managing GitHub Connect."
  • Debes habilitar el servicio de gráficas de dependencia.
  • Debes habilitar el escaneo de vulnerabilidades.

Habilitar la gráfica de dependencias

  1. Ingresa en tu instancia de GitHub Enterprise Server a través de http(s)://HOSTNAME/login.

  2. En el shell administrativo, habilita la gráfica de dependencias en tu instancia de GitHub Enterprise Server:

    ghe-config app.github.dependency-graph-enabled true
    ghe-config app.github.vulnerability-alerting-and-settings-enabled true

    Note: For more information about enabling access to the administrative shell via SSH, see "Accessing the administrative shell (SSH)."

  3. Aplica la configuración

    $ ghe-config-apply
  4. Regresa a GitHub Enterprise Server.

Habilitar Las alertas del dependabot

Antes de habilitar Las alertas del dependabot para tu instancia, necesitas habilitar la gráfica de dependencias. Para obtener más información, consulta la sección anterior.

  1. En la esquina superior derecha de GitHub Enterprise Server, da clic en tu foto de perfil y luego en Configuración de empresa. "Configuración de empresa" en el menú desplegable de la foto de perfil en GitHub Enterprise Server

  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones). Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa

  3. En la barra lateral izquierda, haz clic en GitHub Connect. GitHub Connect tab in the business account settings sidebar

  4. Dabjo de "Se pueden escanear los repositorios para encontrar vulnerabilidades", selecciona el menú desplegable y haz clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haz clic en Habilitado con notificaciones. Menú desplegable para habilitar el escaneo de repositorios para buscar vulnerabilidades

    Tip: Te recomendamos configurar las Las alertas del dependabot sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de algunos días, puedes habilitar las notificaciones para recibir las Las alertas del dependabot como de costumbre.

Ver las dependencias vulnerables en tu instancia de GitHub Enterprise Server

Puedes ver todas las vulnerabilidades en tu instancia de GitHub Enterprise Server y sincronizar en forma manual los datos de vulnerabilidad desde GitHub.com para actualizar la lista.

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  2. Si aún no estás en la página de "Administrador de sitio", en la esquina inferior izquierda, haz clic en Administrador de sitio.

    Captura de pantalla del enlace de "Administrador de sitio"

  3. En la barra lateral izquierda, haz clic en Vulnerabilities (Vulnerabilidades). Pestaña de vulnerabilidades de la barra lateral del administrador del sitio

  4. Para sincronizar los datos de vulnerabilidades, haz clic en Sync Vulnerabilities now (Sincronizar vulnerabilidades ahora). Botón de Sincronizar vulnerabilidades ahora

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.