GitHub Enterprise Server 上の脆弱性のある依存関係に対するアラートについて
脆弱性は、以下のソースからGitHub Advisory Databaseに追加されます。
- National Vulnerability Database
- GitHub上のパブリックなコミット内の脆弱性の検出に、機械学習と人間によるレビューの組み合わせ
- GitHubで報告されたセキュリティアドバイザリ
- npm Security advisoriesデータベース 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。
GitHub Enterprise Serverのインスタンス を GitHub.com に接続し、脆弱性データをインスタンスに同期して、脆弱性のある依存関係を持つリポジトリで セキュリティアラートを生成できます。
GitHub Enterprise Serverのインスタンス を GitHub.com に接続し、脆弱性のある依存関係に対して セキュリティアラートを有効化すると、脆弱性データは 1 時間に 1 回 GitHub.com からインスタンスに同期されます。 また、脆弱性データはいつでも手動で同期することができます。 GitHub Enterprise Serverのインスタンス からのコードまたはコードに関する情報は、GitHub.com にアップロードされません。
GitHub Enterprise Serverのインスタンス は脆弱性に関する情報を受け取ると、影響を受けるバージョンの依存関係を使用するインスタンス内のリポジトリを識別し、セキュリティアラートを生成します。 セキュリティアラートの受信方法をカスタマイズすることができます。 詳しい情報については、「脆弱性のある依存関係に対する通知を設定する」を参照してください。
GitHub Enterprise Serverで脆弱性のある依存関係に対するアラートを有効化する
GitHub Enterprise Serverのインスタンス 上の脆弱性のある依存関係に対する セキュリティアラートを有効にする前に、GitHub Enterprise Serverのインスタンス を GitHub.com に接続する必要があります。 詳細は、「GitHub Enterprise ServerをGitHub Enterprise Cloudに接続する」を参照してください。
メールの過負荷を避けるため、最初の数日間はセキュリティアラートを通知なしに設定することをお勧めします。 数日後、通知を有効化すれば、通常どおりセキュリティアラートを受信できます。
-
http(s)://HOSTNAME/login
でGitHub Enterprise Serverのインスタンスにサインインしてください。 -
管理シェルで、GitHub Enterprise Serverのインスタンス の脆弱性のある依存関係に対する セキュリティアラートを有効にします。
$ ghe-dep-graph-enable
注釈: SSH 経由で管理シェルへのアクセスを有効化する方法について詳しくは、「管理シェル (SSH) にアクセスする」を参照してください。
-
GitHub Enterprise Serverに戻ります。
-
https://HOSTNAME/enterprises/ENTERPRISE-NAME
にアクセスしてEnterpriseアカウントに移動してください。HOSTNAME
はインスタンスのホスト名で、ENTERPRISE-NAME
はEnterpriseアカウント名で置き換えてください。 -
Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
-
左のサイドバーでGitHub Connectをクリックしてください。
-
[Repositories can be scanned for vulnerabilities] で、ドロップダウンメニューを使用して、[Enabled without notifications] を選択します。 必要に応じて、通知を含むアラートを有効化にするには、[Enabled with notifications] を選択します。
GitHub Enterprise Serverで脆弱性のある依存関係を表示する
GitHub Enterprise Serverのインスタンスですべての脆弱性を表示し、GitHub.comから脆弱性データを手動で同期して、リストを更新することができます。
- GitHub Enterprise Serverの管理アカウントから、任意のページの右上にあるをクリックしてください。
- 左サイドバーで [Vulnerabilities] をクリックします。
- 脆弱性データを同期するには、[Sync Vulnerabilities now] をクリックします。