Sobre alertas para dependências vulneráveis no GitHub Enterprise Server
Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:
- A Base de Dados de Vulnerabilidade Nacional
- Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
- Consultorias de segurança relatadas em GitHub
- O banco de dados de Consultorias de segurança de npm
Você pode conectar sua instância do GitHub Enterprise Server a GitHub.com e, em seguida, sincronizar os dados de vulnerabilidade na instância e gerar Dependabot em repositórios com uma dependência vulnerável.
Depois de conectar sua instância do GitHub Enterprise Server a GitHub.com e habilitar Dependabot para dependências vulneráveis, os dados de vulnerabilidade serão sincronizados de GitHub.com para a sua instância uma vez por hora. Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Nenhum código ou informações sobre o código da sua instância do GitHub Enterprise Server são carregados para o GitHub.com.
Quando sua instância do GitHub Enterprise Server recebe informações sobre uma vulnerabilidade, ele identificará repositórios na sua instância que usam a versão afetada da dependência e irá gerar Alertas do Dependabot. Você pode personalizar como você recebe Alertas do Dependabot. Para obter mais informações, consulte "Configurar notificações para dependências vulneráveis".
Habilitar Alertas do Dependabot para dependências vulneráveis em GitHub Enterprise Server
Antes de habilitar Dependabot de dependências vulneráveis em sua instância do GitHub Enterprise Server, você deve conectar sua instância do GitHub Enterprise Server a GitHub.com. Para obter mais informações, consulte "Conectar o GitHub Enterprise Server ao GitHub Enterprise Cloud".
Recomendamos configurar Alertas do Dependabot sem notificações para os primeiros dias a fim de evitar uma sobrecarga de e-mails. Após alguns dias, você poderá habilitar as notificações para receber Alertas do Dependabot, como de costume.
-
Faça login no sua instância do GitHub Enterprise Server em
http(s)://HOSTNAME/login
. -
No shell administrativo, habilite os Dependabot de dependências vulneráveis em sua instância do GitHub Enterprise Server:
$ ghe-dep-graph-enable
Observação: Para obter mais informações sobre como habilitar o acesso ao shell administrativo via SSH, veja "Acessar o shell administrativo (SSH)".
-
Retornar para
GitHub Enterprise Server.
1. No canto superior direito de GitHub Enterprise Server, clique na sua foto de perfil e, em seguida, clique em Configurações da empresa.
- Na barra lateral da conta corporativa, clique em Settings.
- Na barra lateral esquerda, clique em GitHub Connect.
- Em "Repositories can be scanned for vulnerabilities" (Os repositórios podem ser examinados para vulnerabilidades), use o menu suspenso e clique em Enabled without notifications (Habilitado sem notificações). Opcionalmente, para habilitar alertas com notificações, selecione Enabled with notifications(Habilitado com notificações).
Exibir dependências vulneráveis no GitHub Enterprise Server
Você pode exibir todas as vulnerabilidades na sua instância do GitHub Enterprise Server e sincronizar manualmente os dados de vulnerabilidade do GitHub.com para atualizar a lista.
- A partir de uma conta administrativa em GitHub Enterprise Server, clique em no canto superior direito de qualquer página.
- Na barra lateral esquerda, clique em Vulnerabilities (Vulnerabilidades).
- Para sincronizar os dados de vulnerabilidade, clique em Sync Vulnerabilities now (Sincronizar vulnerabilidades agora).