GitHub Enterprise Serverで脆弱性のある依存関係に対するアラートを有効化する

You can connect GitHub Enterprise Serverのインスタンス to GitHub Enterprise Cloud and enable the dependency graph and Dependabot alerts in repositories in your instance.

Site administrators for GitHub Enterprise Server who are also owners of the connected GitHub Enterprise Cloud organization or enterprise account can enable the dependency graph and Dependabot alerts on GitHub Enterprise Server.

GitHub Enterprise Server 上の脆弱性のある依存関係に対するアラートについて

To identify vulnerable dependencies in your repository and receive alerts about vulnerabilities, you need to enable two security features:

  • The dependency graph
  • Dependabot アラート

For more information, see "About the dependency graph" and "About alerts for vulnerable dependencies."

脆弱性は、以下のソースからGitHub Advisory Databaseに追加されます。

You can connect GitHub Enterprise Serverのインスタンス to GitHub.com, then sync vulnerability data to your instance and generate Dependabotアラート in repositories with a vulnerable dependency.

After connecting GitHub Enterprise Serverのインスタンス to GitHub.com and enabling the dependency graph and Dependabotアラート for vulnerable dependencies, vulnerability data is synced from GitHub.com to your instance once every hour. また、脆弱性データはいつでも手動で同期することができます。 GitHub Enterprise Serverのインスタンス からのコードまたはコードに関する情報は、GitHub.com にアップロードされません。

When GitHub Enterprise Serverのインスタンス receives information about a vulnerability, it will identify repositories in your instance that use the affected version of the dependency and generate Dependabotアラート. Dependabotアラート を受け取る方法をカスタマイズできます。 詳しい情報については、「脆弱性のある依存関係に対する通知を設定する」を参照してください。

Before enabling the dependency graph and Dependabot alerts for vulnerable dependencies on GitHub Enterprise Serverのインスタンス, you must connect GitHub Enterprise Serverのインスタンス to GitHub.com. For more information, see "Connecting your enterprise account to GitHub Enterprise Cloud."

Enabling the dependency graph and Dependabotアラート on GitHub Enterprise Server

For GitHub Enterprise Serverのインスタンス to generate Dependabotアラート whenever vulnerabilities are detected on your repositories:

依存関係グラフの有効化

  1. http(s)://HOSTNAME/loginでGitHub Enterprise Serverのインスタンスにサインインしてください。

  2. In the administrative shell, enable the dependency graph on GitHub Enterprise Serverのインスタンス:

    $ ghe-config app.github.dependency-graph-enabled true

    注釈: SSH 経由で管理シェルへのアクセスを有効化する方法について詳しくは、「管理シェル (SSH) にアクセスする」を参照してください。

  3. 設定を適用します。

    $ ghe-config-apply
  4. GitHub Enterprise Serverに戻ります。

Dependabotアラート の有効化

Before enabling Dependabotアラート for your instance, you need to enable the dependency graph. For more information, see above.

  1. GitHub Enterprise Serverの右上で、プロフィール写真をクリックし、続いてEnterprise settings(Enterpriseの設定)をクリックしてください。 GitHub Enterprise Serverのプロフィール写真のドロップダウンメニュー内の"Enterprise settings"

  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。 Enterpriseアカウントサイドバー内の設定タブ

  3. 左のサイドバーでGitHub Connectをクリックしてください。 GitHub Connect tab in the business account settings sidebar

  4. [Repositories can be scanned for vulnerabilities] で、ドロップダウンメニューを使用して、[Enabled without notifications] を選択します。 必要に応じて、通知を含むアラートを有効化にするには、[Enabled with notifications] を選択します。 脆弱性に対するリポジトリのスキャンを有効化するドロップダウンメニュー

    We recommend configuring Dependabotアラート without notifications for the first few days to avoid an overload of emails. 数日後、通知を有効化すれば、通常どおり Dependabotアラート を受信できます。

GitHub Enterprise Serverで脆弱性のある依存関係を表示する

GitHub Enterprise Serverのインスタンスですべての脆弱性を表示し、GitHub.comから脆弱性データを手動で同期して、リストを更新することができます。

  1. GitHub Enterprise Serverの管理アカウントから、任意のページの右上にあるをクリックしてください。 サイトアドミン設定にアクセスするための宇宙船のアイコン
  2. 左サイドバーで [Vulnerabilities] をクリックします。 サイト管理サイドバーの [Vulnerabilities] タブ
  3. 脆弱性データを同期するには、[Sync Vulnerabilities now] をクリックします。 [Sync vulnerabilities now] ボタン

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?