À propos du graphe de dépendances
Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche les dépendances, c’est-à-dire les écosystèmes et les packages dont il dépend.
Pour chaque dépendance, vous pouvez voir la gravité de la vulnérabilité. Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement par gravité de vulnérabilité.
GitHub Enterprise Server ne récupère pas les informations de licence pour les dépendances, et ne calcule pas les informations sur les dépendants, les dépôts et les packages qui dépendent d’un dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances »
Une fois que vous avez activé le graphique de dépendance, les utilisateurs ont accès à la fonctionnalité de révision des dépendances. Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».
Une fois que vous avez activé le graphe des dépendances pour votre entreprise, vous pouvez activer Dependabot afin de détecter les dépendances non sécurisées dans votre référentiel et de corriger automatiquement les vulnérabilités. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
Vous pouvez activer le graphe des dépendances via la Management Console ou l’interpréteur de commandes d’administration. Nous recommandons d’utiliser Management Console, sauf si votre instance utilise le clustering.
Activation du graphe de dépendances via la Management Console
Si votre instance utilise le clustering, vous ne pouvez pas activer le graphe des dépendances avec Management Console et devez utiliser le shell d’administration à la place. Pour plus d’informations, consultez « Activation du graphe de dépendances via l’interpréteur de commandes d’administration ».
-
Connectez-vous à votre instance GitHub Enterprise Server à l’adresse
http(s)://HOSTNAME/login
. -
À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur en haut à droite de n’importe quelle page.
-
Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.
-
Dans la barre latérale « Administrateur de site », cliquez sur Management Console .
-
Dans la barre latérale « Paramètres », cliquez sur Sécurité.
-
Sous « Sécurité », sélectionnez Graphe des dépendances.
-
Sous la barre latérale « Paramètres », cliquez sur Enregistrer les paramètres.
Remarque : l’enregistrement des paramètres dans la Management Console redémarre les services système, ce qui peut entraîner un temps d’arrêt visible pour l’utilisateur.
-
Attendez la fin de l’exécution de la configuration.
-
Cliquez sur Accéder à votre instance.
Activation du graphe de dépendances via l’interpréteur de commandes d’administration
-
Connectez-vous à votre instance GitHub Enterprise Server à l’adresse
http(s)://HOSTNAME/login
. -
Dans le shell d’administration, activez le graphe des dépendances :
ghe-config app.dependency-graph.enabled true
Remarque : pour plus d’informations sur l’activation de l’accès à l’interpréteur de commandes d’administration via SSH, consultez « Accès à l’interpréteur de commandes d’administration (SSH) ».
-
Appliquez la configuration.
ghe-config-apply
-
Revenez à GitHub Enterprise Server.