Sobre Dependabot para GitHub Enterprise Server
Dependabot ajuda os usuários do your GitHub Enterprise Server instance a encontrar e corrigir vulnerabilidades em suas dependências.
Com Alertas do Dependabot, GitHub identifica dependências vulneráveis nos repositórios e cria alertas em your GitHub Enterprise Server instance, usando dados do Banco de Dados Consultivo GitHub e o serviço gráfico de dependências.
Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:
- A Base de Dados de Vulnerabilidade Nacional
- Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
- Consultorias de segurança relatadas em GitHub
- O banco de dados de Consultorias de segurança de npm
Após habilitar o recurso Alertas do Dependabot para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o Banco de Dados Consultivo GitHub e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. For more information about advisory data, see "Browsing security vulnerabilities in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.
Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, consulteVisualizando os dados de vulnerabilidade da sua empresa".
Observação: Ao habilitar Alertas do Dependabot, nenhum código ou informação sobre o código de your GitHub Enterprise Server instance será enviado para GitHub.com.
Quando your GitHub Enterprise Server instance recebe informações sobre uma vulnerabilidade, ele identifica repositórios em your GitHub Enterprise Server instance que usam a versão afetada da dependência e gera Alertas do Dependabot. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Alertas do Dependabot.
Para repositórios com Alertas do Dependabot habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a your GitHub Enterprise Server instance, GitHub Enterprise Server digitaliza todos os repositórios existentes em your GitHub Enterprise Server instance e gera alertas para qualquer repositório que seja vulnerável. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis"
Habilitando Alertas do Dependabot
Antes de poder habilitar Alertas do Dependabot:
- Você deve habilitar GitHub Connect. Para obter mais informações, consulte "Gerenciando GitHub Connect".
- Você deve habilitar o gráfico de dependências. Para obter mais informações, consulte "Habilitando o gráfico de dependências para sua empresa."
-
No canto superior direito de GitHub Enterprise Server, clique na sua foto de perfil e, em seguida, clique em Configurações da empresa.
-
Na barra lateral da conta corporativa, clique em Settings.
-
Na barra lateral esquerda, clique em GitHub Connect.
-
Em "Repositórios podem ser digitalizados com relação a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com as notificações.
Dica: Recomendamos configurar Alertas do Dependabot sem notificações para os primeiros dias para evitar uma sobrecarga de e-mails. Após alguns dias, você poderá habilitar as notificações para receber Alertas do Dependabot, como de costume.