Sobre as dependências vulneráveis
Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque.
Quando o seu código depende de um pacote que tenha uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas para o seu projeto ou para as pessoas que o usam.
Detecção de dependências vulneráveis
GitHub Enterprise Server detecta dependências vulneráveis e envia alertas de segurança quando:
-
São sincronizados novos dados de consultoria com GitHub Enterprise Server a cada hora a partir de GitHub.com. For more information about advisory data, see "Browsing security vulnerabilities in the Banco de Dados Consultivo GitHub."
-
O gráfico de dependências para alterações de repositório. Por exemplo, quando um contribuidor faz push de um commit para alterar os pacotes ou versões de que ele depende. Para obter mais informações, consulte "Sobre o gráfico de dependência".
Para obter uma lista dos ecossistemas para os quais o GitHub Enterprise Server pode detectar vulnerabilidades e dependências, consulte "Ecossistemas de pacotes compatíveis".
Observação: É importante manter seus manifestos atualizados e seu arquivos bloqueados. Se o gráfico de dependências não refletir corretamente suas dependências e versões atuais, você poderá perder alertas para dependências vulneráveis que você usar. Você também pode receber alertas de dependências que você já não usa.
Alertas de segurança para dependências vulneráveis
O seu administrador do site deve habilitar alertas de segurança para dependências vulneráveis para sua instância do GitHub Enterprise Server antes de você poder usar este recurso. Para obter mais informações, consulte "Habilitar alertas para dependências vulneráveis em GitHub Enterprise Server".
Quando GitHub Enterprise Server identifica uma dependência vulnerável, enviamos um alerta de segurança de para os mantenedores dos repositórios afetados, com informações sobre a vulnerabilidade, um link para o arquivo afetado no projeto, bem como informações sobre uma versão corrigida.
Observação: Os recursos de segurança de GitHub Enterprise Server não reivindicam garantem que todas as vulnerabilidades sejam detectadas. Embora estejamos sempre tentando atualizar nosso banco de dados de vulnerabilidades e gerar alertas com nossas informações mais atualizadas. não seremos capazes de pegar tudo ou falar sobre vulnerabilidades conhecidas dentro de um período de tempo garantido. Esses recursos não substituem a revisão humana de cada dependência em busca de possíveis vulnerabilidades ou algum outro problema, e nossa sugestão é consultar um serviço de segurança ou realizar uma revisão completa de vulnerabilidade quando necessário.
Acesso a alertas de segurança
É possível ver todos os alertas que afetam um determinado projeto no gráfico de dependências do repositório.
Enviamos alertas de segurança para as pessoas com permissões de administrador nos repositórios afetados por padrão. O GitHub Enterprise Server nunca divulga publicamente vulnerabilidades identificadas para qualquer repositório.
You can choose the delivery method for notifications about security alerts on repositories that you are watching, as well as the frequency at which the notifications are sent to you. Para obter mais informações, consulte "Configurar notificações para dependências vulneráveis."