Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
Enterprise Server 3.1
Português do Brasil
 
Code security
Enterprise Server 3.1
Português do Brasil

 

Esta versão do GitHub Enterprise foi descontinuada em 2022-06-03. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, melhorar a segurança e novos recursos, upgrade to the latest version of GitHub Enterprise. Para ajuda com a atualização, contact GitHub Enterprise support.

Sobre a segurança da cadeia de suprimento

Neste artigo

GitHub Enterprise Server ajuda você a proteger sua cadeia de suprimentos, de entender as dependências do seu ambiente, conhecer as vulnerabilidades nessas dependências.

Sobre a segurança da cadeia de suprimentos no GitHub

Com o uso acelerado de código aberto, a maioria dos projetos depende de centenas de dependências de código aberto. Isso coloca um problema de segurança: e se as dependências que você estiver usando forem vulneráveis? Você poderia colocar os seus usuários em risco de ataque da cadeia de suprimentos. Uma das coisas mais importantes que você pode fazer para proteger sua cadeia de suprimentos é corrigir suas dependências vulneráveis.

Você adiciona dependências diretamente à sua cadeia de suprimentos ao especificá-las em um arquivo de manifesto ou um arquivo de bloqueio. As dependências também podem ser incluídas transitoriamente, ou seja, até mesmo se você não especificar uma dependência em particular, mas a sua dependência a usa, portanto, você também depende dessa dependência.

GitHub Enterprise Server oferece uma variedade de recursos para ajudar você a entender as dependências do seu ambiente e conhecer as vulnerabilidades dessas dependências.

As funcionalidades da cadeia de suprimentos em GitHub Enterprise Server são:

  • Gráfico de dependências

  • Alertas do Dependabot

O gráfico de dependências é fundamental para fornecer segurança da cadeia de suprimentos. O gráfico de dependências identifica todas as dependências a montante e as dependências públicas a jusante de um repositório ou pacote. É possível ver as dependências e algumas de suas propriedades, como informações de vulnerabilidade, no gráfico de dependências do repositório.

Os dados de dependência de referência cruzada de Dependabot fornecidos pelo gráfico de dependências com a lista de consultorias conhecidas publicadas no Banco de Dados Consultivo GitHub, verifica suas dependências e gera Alertas do Dependabot quando uma potencial vulnerabilidade é detectada.

Para oter guias sobre as práticas recomendadas de segurança da cadeia de suprimentos de ponta a ponta, incluindo a proteção de contas pessoais, código e processos de compilação, consulte "Protegendo sua cadeia de suprimentos de ponta a ponta".

Visão geral de recursos

Qual é o gráfico de dependências

Para gerar o gráfico de dependência, GitHub analisa as dependências explícitas de um repositório declaradas no manifesto e no arquivo de bloqueio. Quando habilitado, o gráfico de dependências analisa automaticamente todos os arquivos de manifesto de pacote conhecidos no repositório, e usa isto para construir um gráfico com nomes e versões conhecidas das dependências.

  • O gráfico de dependências inclui informações sobre suas dependências diretas e dependências transitivas.
  • O gráfico de dependência é atualizado automaticamente quando você faz push de um commit para GitHub que altera ou adiciona um manifesto compatível ou um arquivo de bloqueio para o branch padrão, e quando alguém fizer uma alteração no repositório de uma de suas dependências.
  • É possível ver o gráfico de dependências abrindo a página principal do repositório no GitHub Enterprise Server e acessando a aba Insights.

Para obter mais informações sobre o gráfico de dependências, consulte "Sobre o gráfico de dependências".

O que é o Dependabot

Dependabot mantém suas dependências atualizadas informando você de qualquer vulnerabilidade de segurança em suas dependências para que você possa atualizar essa dependência.

Quais são os alertas do Dependabot

Alertas do Dependabot destaca repositórios afetados por uma vulnerabilidade recém-descoberta com base no gráfico de dependência e no Banco de Dados Consultivo GitHub, que contém avisos para vulnerabilidades conhecidasde malware.

  • Dependabot realiza uma digitalização para detectar dependências inseguras e envia Alertas do Dependabot quando:

    • São sincronizados novos dados de consultoria com your GitHub Enterprise Server instance a cada hora a partir de GitHub.com. For more information about advisory data, see "Browsing security advisories in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

    • O gráfico de dependências para as alterações no repositório.

  • Alertas do Dependabot são exibidos na aba Segurança do repositório e no gráfico de dependências do repositório. O alerta inclui um link para o arquivo afetado no projeto, e informações sobre uma versão fixa.

Para obter mais informações, consulte "Sobre Alertas do Dependabot".

Disponibilidade de recursos