À propos du graphe de dépendances
Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un référentiel. Il contient également toutes les dépendances soumises pour le référentiel à l'aide de l'interface API de soumission de dépendances (beta). Pour chaque dépôt, il affiche les dépendances, c’est-à-dire les écosystèmes et les packages dont il dépend.
Pour chaque dépendance, vous pouvez voir la gravité de la vulnérabilité. Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement par gravité de vulnérabilité.
GitHub Enterprise Server ne calcule pas les informations sur les dépendants, les dépôts et les packages qui dépendent d’un dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances »
Une fois que vous avez activé le graphique de dépendance, les utilisateurs ont accès à la fonctionnalité de révision des dépendances. Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».
Une fois que vous avez activé le graphe des dépendances pour votre entreprise, vous pouvez activer Dependabot afin de détecter les dépendances non sécurisées dans votre référentiel et de corriger automatiquement les vulnérabilités. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
Vous pouvez activer le graphe des dépendances via la Management Console ou l’interpréteur de commandes d’administration. Nous vous recommandons d’utiliser la Management Console à moins que votre instance GitHub Enterprise Server utilise le clustering.
Activation du graphe de dépendances via la Management Console
Si votre instance GitHub Enterprise Server utilise le clustering, vous ne pouvez pas activer le graphe des dépendances avec la Management Console et devez utiliser à la place l’interpréteur de commandes d’administration. Pour plus d’informations, consultez « Activation du graphe de dépendances via l’interpréteur de commandes d’administration ».
-
Connectez-vous à votre instance GitHub Enterprise Server à l’adresse
http(s)://HOSTNAME/login. -
À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur en haut à droite de n’importe quelle page.
-
Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.
-
Dans la barre latérale « Administrateur de site », cliquez sur Management Console .
-
Dans la barre latérale « Paramètres », cliquez sur Sécurité.
-
Sous « Sécurité », sélectionnez Graphe des dépendances.
-
Sous la barre latérale « Paramètres », cliquez sur Enregistrer les paramètres.
Remarque : l’enregistrement des paramètres dans la Management Console redémarre les services système, ce qui peut entraîner un temps d’arrêt visible pour l’utilisateur.
-
Attendez la fin de l’exécution de la configuration.
-
Cliquez sur Accéder à votre instance.
Activation du graphe de dépendances via l’interpréteur de commandes d’administration
-
Connectez-vous à votre instance GitHub Enterprise Server à l’adresse
http(s)://HOSTNAME/login. -
Dans l’interpréteur de commandes d’administration, activez le graphe des dépendances sur votre instance GitHub Enterprise Server :
ghe-config app.dependency-graph.enabled trueRemarque : pour plus d’informations sur l’activation de l’accès à l’interpréteur de commandes d’administration via SSH, consultez « Accès à l’interpréteur de commandes d’administration (SSH) ».
-
Appliquez la configuration.
ghe-config-apply -
Revenez à GitHub Enterprise Server.