GitHub Enterprise Server 上の脆弱性のある依存関係に対するアラートについて
We add vulnerabilities to the GitHub Advisory Database from the following sources:
- National Vulnerability Database
- GitHub上のパブリックなコミット内の脆弱性の検出に、機械学習と人間によるレビューの組み合わせ
- Security advisories reported on GitHub
- The npm Security advisories database 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。
your GitHub Enterprise Server instance を GitHub.com に接続し、脆弱性データをインスタンスに同期して、脆弱性のある依存関係を持つリポジトリで Dependabotアラートを生成できます。
your GitHub Enterprise Server instance を GitHub.com に接続し、脆弱性のある依存関係に対して Dependabotアラートを有効化すると、脆弱性データは 1 時間に 1 回 GitHub.com からインスタンスに同期されます。 また、脆弱性データはいつでも手動で同期することができます。 your GitHub Enterprise Server instance からのコードまたはコードに関する情報は、GitHub.com にアップロードされません。
When your GitHub Enterprise Server instance receives information about a vulnerability, it will identify repositories in your instance that use the affected version of the dependency and generate Dependabot alerts. You can customize how you receive Dependabot alerts. For more information, see "Configuring notifications for vulnerable dependencies."
Enabling Dependabot alerts for vulnerable dependencies on GitHub Enterprise Server
your GitHub Enterprise Server instance 上の脆弱性のある依存関係に対する Dependabotアラートを有効にする前に、your GitHub Enterprise Server instance を GitHub.com に接続する必要があります。 詳細は、「GitHub Enterprise ServerをGitHub Enterprise Cloudに接続する」を参照してください。
We recommend configuring Dependabot alerts without notifications for the first few days to avoid an overload of emails. After a few days, you can enable notifications to receive Dependabot alerts as usual.
-
http(s)://HOSTNAME/login
でyour GitHub Enterprise Server instanceにサインインしてください。 -
管理シェルで、your GitHub Enterprise Server instance の脆弱性のある依存関係に対する Dependabotアラートを有効にします。
$ ghe-dep-graph-enable
Note: For more information about enabling access to the administrative shell via SSH, see "Accessing the administrative shell (SSH)."
-
次に、
GitHub Enterprise Server.
1. In the top-right corner of GitHub Enterprise Server, click your profile photo, then click Enterprise settings.
- Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
- 左のサイドバーでGitHub Connectをクリックしてください。
- [Repositories can be scanned for vulnerabilities] で、ドロップダウンメニューを使用して、[Enabled without notifications] を選択します。 必要に応じて、通知を含むアラートを有効化にするには、[Enabled with notifications] を選択します。
GitHub Enterprise Serverで脆弱性のある依存関係を表示する
your GitHub Enterprise Server instanceですべての脆弱性を表示し、GitHub.comから脆弱性データを手動で同期して、リストを更新することができます。
- From an administrative account on GitHub Enterprise Server, click in the upper-right corner of any page.
- 左サイドバーで [Vulnerabilities] をクリックします。
- 脆弱性データを同期するには、[Sync Vulnerabilities now] をクリックします。