Acerca de las alertas para las dependencias vulnerables en GitHub Enterprise Server
Agregamos vulnerabilidades a la GitHub Advisory Database desde las siguientes fuentes:
- La National Vulnerability Database
- Una combinación de aprendizaje automático y revisión humana para detectar vulnerabilidades en confirmaciones públicas en GitHub
- Asesorías de seguridad que se reportan en GitHub
- FriendsOfPHP Para obtener más información, consulta la sección "Acerca de las alertas para las dependencias vulnerables".
Puedes conectar tu instancia de servidor de GitHub Enterprise a GitHub.com, luego sincronizar los datos de vulnerabilidad para tu instancia y generar alertas de seguridad en los repositorios con dependencias vulnerables.
Luego de conectar tu instancia de servidor de GitHub Enterprise a GitHub.com y de habilitar las alertas de seguridad para las dependencias vulnerables, los datos de vulnerabilidad se sincronizan desde GitHub.com hasta tu instancia cada una hora. También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. No se han cargado códigos o información sobre el código desde tu instancia de servidor de GitHub Enterprise hasta GitHub.com.
Cuando tu instancia de servidor de GitHub Enterprise recibe información sobre una vulnerabilidad, identificará repositorios en su instancia que usa la versión afectada de la dependencia y envía alertas de seguridad a los propietarios y a las personas con accesos administrativos en estos repositorios. Pueden personalizar cómo recibir las alertas de seguridad. Para obtener más información, consulta la sección "Acerca de las alertas para las dependencias vulnerables".
Habilitar alertas de seguridad para las dependencias vulnerables en GitHub Enterprise Server
Antes de habilitar las alertas de seguridad para dependencias vulnerables en tu instancia de servidor de GitHub Enterprise, debes conectar tu instancia de servidor de GitHub Enterprise en GitHub.com. Para obtener más información, consulta "Conectar GitHub Enterprise Server a GitHub Enterprise Cloud."
-
Ingresa en tu instancia de servidor de GitHub Enterprise a través de
http(s)://HOSTNAME/login
. -
En el shell administrativo, habilita las alertas de seguridad para las dependencias vulnerables en tu instancia de servidor de GitHub Enterprise:
$ ghe-dep-graph-enable
-
Regresar a GitHub Enterprise Server.
-
En la esquina superior derecha de cualquier página, da clic en .
-
En la barra lateral izquierda, haga clic en Enterprise.
-
En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
-
En la barra lateral izquierda, haz clic en GitHub Connect.
-
En "Los repositorios se pueden escanear para encontrar vulnerabilidades", usa el menú desplegable y selecciona Enabled (Habilitado).
Ver las dependencias vulnerables en GitHub Enterprise Server
Puedes ver todas las vulnerabilidades en tu instancia de servidor de GitHub Enterprise y sincronizar en forma manual los datos de vulnerabilidad desde GitHub.com para actualizar la lista.
- En la esquina superior derecha de cualquier página, da clic en .
- En la barra lateral izquierda, haz clic en Vulnerabilities (Vulnerabilidades).
- Para sincronizar los datos de vulnerabilidades, haz clic en Sync Vulnerabilities now (Sincronizar vulnerabilidades ahora).