GitHub Enterprise Server 上の脆弱性のある依存関係に対するアラートについて
To identify vulnerable dependencies in your repository and receive alerts about vulnerabilities, you need to enable two security features:
- The dependency graph
- Dependabot アラート
For more information, see "About the dependency graph" and "About alerts for vulnerable dependencies."
脆弱性は、以下のソースからGitHub Advisory Databaseに追加されます。
- National Vulnerability Database
- GitHub上のパブリックなコミット内の脆弱性の検出に、機械学習と人間によるレビューの組み合わせ
- GitHubで報告されたセキュリティアドバイザリ
- npm Security advisoriesデータベース
You can connect GitHub Enterprise Serverのインスタンス to GitHub.com, then sync vulnerability data to your instance and generate Dependabotアラート in repositories with a vulnerable dependency.
After connecting GitHub Enterprise Serverのインスタンス to GitHub.com and enabling the dependency graph and Dependabotアラート for vulnerable dependencies, vulnerability data is synced from GitHub.com to your instance once every hour. また、脆弱性データはいつでも手動で同期することができます。 GitHub Enterprise Serverのインスタンス からのコードまたはコードに関する情報は、GitHub.com にアップロードされません。
When GitHub Enterprise Serverのインスタンス receives information about a vulnerability, it will identify repositories in your instance that use the affected version of the dependency and generate Dependabotアラート. Dependabotアラート を受け取る方法をカスタマイズできます。 詳しい情報については、「脆弱性のある依存関係に対する通知を設定する」を参照してください。
Before enabling the dependency graph and Dependabot alerts for vulnerable dependencies on GitHub Enterprise Serverのインスタンス, you must connect GitHub Enterprise Serverのインスタンス to GitHub.com. For more information, see "Connecting your enterprise account to GitHub Enterprise Cloud."
Enabling the dependency graph and Dependabotアラート on GitHub Enterprise Server
For GitHub Enterprise Serverのインスタンス to generate Dependabotアラート whenever vulnerabilities are detected on your repositories:
- You must connect GitHub Enterprise Serverのインスタンス to GitHub.com. 詳細は、「GitHub Enterprise ServerをGitHub Enterprise Cloudに接続する」を参照してください。
- You must enable the dependency graph.
依存関係グラフの有効化
-
http(s)://HOSTNAME/login
でGitHub Enterprise Serverのインスタンスにサインインしてください。 -
In the administrative shell, enable the dependency graph on GitHub Enterprise Serverのインスタンス:
$ ghe-config app.github.dependency-graph-enabled true
注釈: SSH 経由で管理シェルへのアクセスを有効化する方法について詳しくは、「管理シェル (SSH) にアクセスする」を参照してください。
-
設定を適用します。
$ ghe-config-apply
-
GitHub Enterprise Serverに戻ります。
Dependabotアラート の有効化
Before enabling Dependabotアラート for your instance, you need to enable the dependency graph. For more information, see above.
-
GitHub Enterprise Serverの右上で、プロフィール写真をクリックし、続いてEnterprise settings(Enterpriseの設定)をクリックしてください。
-
Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
-
左のサイドバーでGitHub Connectをクリックしてください。
-
[Repositories can be scanned for vulnerabilities] で、ドロップダウンメニューを使用して、[Enabled without notifications] を選択します。 必要に応じて、通知を含むアラートを有効化にするには、[Enabled with notifications] を選択します。
We recommend configuring Dependabotアラート without notifications for the first few days to avoid an overload of emails. 数日後、通知を有効化すれば、通常どおり Dependabotアラート を受信できます。
GitHub Enterprise Serverで脆弱性のある依存関係を表示する
GitHub Enterprise Serverのインスタンスですべての脆弱性を表示し、GitHub.comから脆弱性データを手動で同期して、リストを更新することができます。
- GitHub Enterprise Serverの管理アカウントから、任意のページの右上にあるをクリックしてください。
- 左サイドバーで [Vulnerabilities] をクリックします。
- 脆弱性データを同期するには、[Sync Vulnerabilities now] をクリックします。