Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Esta versão do GitHub Enterprise será descontinuada em 2022-06-03. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, melhorar a segurança e novos recursos, upgrade to the latest version of GitHub Enterprise. Para ajuda com a atualização, contact GitHub Enterprise support.

Habilitando o Dependabot para sua empresa

Você pode permitir que os usuários de your GitHub Enterprise Server instance encontrem e corrijam vulnerabilidades em dependências de código, habilitando Alertas do Dependabot.

Enterprise owners can enable Dependabot.

Sobre Dependabot para GitHub Enterprise Server

Dependabot ajuda os usuários do your GitHub Enterprise Server instance a encontrar e corrigir vulnerabilidades em suas dependências.

Com Alertas do Dependabot, GitHub identifica dependências vulneráveis nos repositórios e cria alertas em your GitHub Enterprise Server instance, usando dados do Banco de Dados Consultivo GitHub e o serviço gráfico de dependências.

Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:

  • A Base de Dados de Vulnerabilidade Nacional
  • Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
  • Consultorias de segurança relatadas em GitHub
  • O banco de dados de Consultorias de segurança de npm

Após habilitar o recurso Alertas do Dependabot para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o Banco de Dados Consultivo GitHub e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. For more information about advisory data, see "Browsing security vulnerabilities in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, consulteVisualizando os dados de vulnerabilidade da sua empresa".

Observação: Ao habilitar Alertas do Dependabot, nenhum código ou informação sobre o código de your GitHub Enterprise Server instance será enviado para GitHub.com.

Quando your GitHub Enterprise Server instance recebe informações sobre uma vulnerabilidade, ele identifica repositórios em your GitHub Enterprise Server instance que usam a versão afetada da dependência e gera Alertas do Dependabot. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Alertas do Dependabot.

Para repositórios com Alertas do Dependabot habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a your GitHub Enterprise Server instance, GitHub Enterprise Server digitaliza todos os repositórios existentes em your GitHub Enterprise Server instance e gera alertas para qualquer repositório que seja vulnerável. Para obter mais informações, consulte "Sobre Alertas do Dependabot".

Habilitando Alertas do Dependabot

Antes de poder habilitar Alertas do Dependabot:

  1. No canto superior direito de GitHub Enterprise Server, clique na sua foto de perfil e, em seguida, clique em Configurações da empresa. "Configurações da empresa" no menu suspenso para foto do perfil em GitHub Enterprise Server

  2. In the enterprise account sidebar, click GitHub Connect. GitHub Connect tab in the enterprise account sidebar

  3. Em "Repositórios podem ser digitalizados com relação a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com as notificações. Menu suspenso para habilitar a verificação vulnerabilidades nos repositórios

    Dica: Recomendamos configurar Alertas do Dependabot sem notificações para os primeiros dias para evitar uma sobrecarga de e-mails. Após alguns dias, você poderá habilitar as notificações para receber Alertas do Dependabot, como de costume.