Habilitando o Dependabot para sua empresa

Você pode permitir que os usuários encontrem e corrijam vulnerabilidades nas dependências de código configurando Dependabot alerts e Dependabot updates.

Quem pode usar esse recurso?

Enterprise owners can set up Dependabot.

Neste artigo

Sobre o Dependabot para GitHub Enterprise Server

O Dependabot ajuda os usuários a encontrar e corrigir vulnerabilidades em suas dependências. Primeiro, configure o Dependabot para sua empresa e, em seguida, habilite Dependabot alerts para notificar os usuários sobre dependências vulneráveis e Dependabot updates para corrigir as vulnerabilidades e manter as dependências atualizadas com a versão mais recente.

Dependabot é apenas um dos muitos recursos disponíveis para fortalecer a segurança da cadeia de suprimentos de GitHub. Para obter mais informações sobre os outros recursos, confira AUTOTITLE.

Sobre Dependabot alerts

Com Dependabot alerts, o GitHub identifica dependências vulneráveis nos repositórios e cria alertas no GitHub Enterprise Server usando dados do GitHub Advisory Database e o serviço grafo de dependência.

Adicionamos comunicados ao GitHub Advisory Database das seguintes fontes:

Se você conhecer outro banco de dados do qual devemos importar os avisos, conte-nos sobre ele abrindo um problema em https://github.com/github/advisory-database.

Após você configurar o recurso Dependabot para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o GitHub Advisory Database e a sua instância uma vez a cada hora. Apenas os avisos revisados por GitHub estão sincronizados. Para saber mais, confira Como procurar avisos de segurança no GitHub Advisory Database.

Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para saber mais, confira AUTOTITLE.

Observação

Quando você habilita os Dependabot alerts, nenhum código ou informação sobre o código do GitHub Enterprise Server é carregado no GitHub.com ou no GHE.com.

Quando o GitHub Enterprise Server recebe informações sobre uma vulnerabilidade, ele identifica os repositórios que usam a versão afetada da dependência e gera Dependabot alerts. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Dependabot alerts.

Para repositórios com Dependabot alerts habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado, o GitHub Enterprise Server verifica todos os repositórios atuais e gera alertas para qualquer um deles que esteja vulnerável. Para saber mais, confira AUTOTITLE.

Sobre Dependabot updates

Após habilitar Dependabot alerts, você poderá optar por habilitar Dependabot updates. Quando as Dependabot updates estão habilitadas para o GitHub Enterprise Server, os usuários podem configurar repositórios para que as dependências sejam atualizadas e mantidas seguras automaticamente.

Observação

O Dependabot updates no GitHub Enterprise Server requer GitHub Actions com executores auto-hospedados.

Por padrão, os executores do GitHub Actions utilizados pelo Dependabot precisam de acesso à Internet para baixar pacotes atualizados de gerenciadores de pacotes ascendentes. Para Dependabot updates alimentado por GitHub Connect, o acesso à internet fornece aos seus executores um token que permite acesso a dependências e avisos hospedados no GitHub.com.

Você pode habilitar Dependabot updates para registros privados específicos em instâncias de GitHub Enterprise Server com acesso limitado ou não à Internet. Para saber mais, confira AUTOTITLE.

Com Dependabot updates, GitHub cria automaticamente pull requests para atualizar dependências de duas maneiras.

  • Dependabot version updates : os usuários adicionam um arquivo de configuração do Dependabot ao repositório para habilitar o Dependabot a fim de criar solicitações de pull quando uma nova versão de uma dependência rastreada for lançada. Para saber mais, confira AUTOTITLE.
  • Dependabot security updates : os usuários alternam uma configuração de repositório para habilitar o Dependabot a fim de criar solicitações de pull quando o GitHub detecta uma vulnerabilidade em uma das dependências do grafo de dependência do repositório. Para saber mais, confira AUTOTITLE e AUTOTITLE.

Habilitando Dependabot alerts

Antes de habilitar os Dependabot alerts, você precisa configurar o Dependabot para sua empresa:

  • Você deve habilitar GitHub Connect. Para saber mais, confira AUTOTITLE.
  • Você deve habilitar o gráfico de dependências. Para saber mais, confira AUTOTITLE.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.

  2. Na parte superior da página, clique em GitHub Connect.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em GitHub Connect.

  3. Em "Dependabot", à direita de "Baixar periodicamente o GitHub Advisory Database para que os usuários possam receber alertas de vulnerabilidade para dependências de código de código aberto", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com notificações.

    Captura de tela do menu suspenso "Habilitar" para Dependabot alerts, mostrando as opções disponíveis.

    Observação

    Essa configuração controla apenas as notificações da Web e por email em tempo real. Os avisos da CLI (interface de linha de comando) e resumos por email ainda serão entregues, independentemente da opção selecionada.

    Dica

    Recomendamos configurar os Dependabot alerts sem notificações nos primeiros dias para evitar uma sobrecarga de notificações em tempo real. Após alguns dias, você poderá habilitar as notificações para receber Dependabot alerts, como de costume.

Você agora pode habilitar Dependabot alerts para todos os repositórios privados e internos existentes ou novos na página de configurações da empresa para "Advanced Security." Como alternativa, os administradores do repositório e os proprietários da organização podem habilitar Dependabot alerts para cada repositório e organização. Os repositórios públicos estão sempre habilitados por padrão. Para saber mais, confira AUTOTITLE.

Habilitar o Dependabot updates

Para poder habilitar Dependabot updates:

  • Você deve habilitar Dependabot alerts para sua empresa. Para obter mais informações, confira "Habilitar Dependabot alerts" acima.
  • Você precisa habilitar o TLS. Dependabot updates são executados em executores auto-hospedados, que precisam ter o TLS habilitado. Para saber mais, confira AUTOTITLE.
  • Você deve configurar o GitHub Enterprise Server para usar GitHub Actions com executores auto-hospedados. Para saber mais, confira AUTOTITLE.

Se a sua empresa usar clustering, Dependabot updates não serão aceitas no GitHub Enterprise Server.

Observação

Depois de habilitar o grafo de dependência, você pode usar a ação de Dependabot. A ação gerará um erro se quaisquer vulnerabilidades ou licenças inválidas estiverem sendo introduzidas. Para obter mais informações sobre a ação e para obter instruções sobre como baixar a versão mais recente, confira Usar a versão mais recente das ações agrupadas oficialmente.

  1. Entre no sua instância do GitHub Enterprise Server em http(s)://HOSTNAME/login.

  2. Em uma conta administrativa no GitHub Enterprise Server, no canto superior direito de qualquer página, clique em .

  3. Se você ainda não estiver na página "Administração do site", no canto superior esquerdo, clique em Administração do site.

  4. Na barra lateral " Site admin", clique em Console de Gerenciamento.

  5. Na barra lateral "Configurações", clique em Segurança.

  6. Em "Segurança", selecione Dependabot updates.

  7. Clique em Acessar sua instância.

  8. Configure executores auto-hospedados dedicados para criar as solicitações de pull que atualizarão as dependências. Isso é necessário porque os fluxos de trabalho usam um rótulo de executor específico. Para saber mais, confira AUTOTITLE.

  9. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.

  10. Na parte superior da página, clique em GitHub Connect.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em GitHub Connect.

  11. Em "Dependabot", à direita de "Os usuários podem atualizar facilmente para dependências de código código aberto não vulneráveis", clique em Habilitar.

Ao habilitar Dependabot alerts, considere também configurar GitHub Actions para Dependabot security updates. Este recurso permite aos desenvolvedores corrigir a vulnerabilidades nas suas dependências. Para saber mais, confira AUTOTITLE.

Se você precisar de segurança aprimorada, recomendamos a configuração do Dependabot para usar registros privados. Para saber mais, confira AUTOTITLE.