Habilitar alertas para dependências vulneráveis no GitHub Enterprise Server

Você pode conectar sua instância do GitHub Enterprise Server a GitHub Enterprise Cloud e habilitar o gráfico de dependências e Dependabot em repositórios na sua instância.

Site administrators for GitHub Enterprise Server who are also owners of the connected GitHub Enterprise Cloud organization or enterprise account can enable the dependency graph and Dependabot alerts on GitHub Enterprise Server.

Sobre alertas para dependências vulneráveis no GitHub Enterprise Server

Para identificar dependências vulneráveis no seu repositório e receber alertas sobre vulnerabilidades, você deverá habilitar duas funcionalidades de segurança:

  • O gráfico de dependências
  • Alertas de Dependabot

Para obter mais informações, consulte "Sobre o gráfico de dependências" e "Sobre alertas para dependências vulneráveis".

Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:

  • A Base de Dados de Vulnerabilidade Nacional
  • Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
  • Consultorias de segurança relatadas em GitHub
  • O banco de dados de Consultorias de segurança de npm

Você pode conectar sua instância do GitHub Enterprise Server a GitHub.com e, em seguida, sincronizar os dados de vulnerabilidade na sua instância e gerar Alertas do Dependabot em repositórios com uma dependência vulnerável.

Depois de conectar sua instância do GitHub Enterprise Server a GitHub.com e habilitar o gráfico de dependências e Alertas do Dependabot para dependências vulneráveis, os dados de vulnerabilidade são sincronizados de GitHub.com para sua instância uma vez a cada hora. Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Nenhum código ou informações sobre o código da sua instância do GitHub Enterprise Server são carregados para o GitHub.com.

Quando sua instância do GitHub Enterprise Server recebe informações sobre uma vulnerabilidade, ele identificará repositórios na sua instância que usam a versão afetada da dependência e gerará Alertas do Dependabot. Você pode personalizar como você recebe Alertas do Dependabot. Para obter mais informações, consulte "Configurar notificações para dependências vulneráveis".

Antes de ativar o gráfico de dependências e Dependabot para dependências vulneráveis em sua instância do GitHub Enterprise Server, você deve conectar sua instância do GitHub Enterprise Server a GitHub.com. Para obter mais informações, consulte "Conectando sua conta corporativa a GitHub Enterprise Cloud".

Habilitar o gráfico de dependências e Alertas do Dependabot no GitHub Enterprise Server

Para sua instância do GitHub Enterprise Server gerar Alertas do Dependabot sempre que forem detectadas vulnerabilidades nos seus repositórios:

Você pode habilitar o gráfico de dependências por meio do Console de gerenciamento ou do shell administrativo. Recomendamos que você siga o encaminhamento de Console de gerenciamento a menos que sua instância do GitHub Enterprise Server use clustering.

Habilitando o gráfico de dependências por meio do Console de gerenciamento

  1. Faça login no sua instância do GitHub Enterprise Server em http(s)://HOSTNAME/login.
  2. A partir de uma conta administrativa em GitHub Enterprise Server, clique em no canto superior direito de qualquer página. Ícone de foguete para acessar as configurações de administrador do site
  3. Na barra lateral esquerda, clique em Console de gerenciamento. Console de gerenciamento aba na barra lateral esquerda
  4. In the left sidebar, click Security. Security sidebar
  5. Em "Segurança", clique em Gráfico de dependência. Caixa de seleção para habilitar ou desabilitar o gráfico de dependências
  6. Na barra lateral esquerda, clique Save settings (Salvar configurações). Botão Save settings (Salvar configurações) no Console de gerenciamento
  7. Aguarde a conclusão da execução de suas configurações.
  8. Clique Visit your instance (Visite sua instância).

Habilitando o gráfico de dependências por meio do shell administrativo

  1. Faça login no sua instância do GitHub Enterprise Server em http(s)://HOSTNAME/login.

  2. No shell administrativo, habilite o gráfico de dependências em sua instância do GitHub Enterprise Server:

    $ ghe-config app.dependency-graph.enabled true

    Observação: Para obter mais informações sobre como habilitar o acesso ao shell administrativo via SSH, veja "Acessar o shell administrativo (SSH)".

  3. Aplique a configuração.

    $ ghe-config-apply
  4. Volte para o GitHub Enterprise Server.

Habilitar o Alertas do Dependabot

Antes de habilitar Alertas do Dependabot para sua instância, você deverá habilitar o gráfico de dependências. Para obter mais informações, consulte acima.

  1. No canto superior direito de GitHub Enterprise Server, clique na sua foto de perfil e, em seguida, clique em Configurações da empresa. "Configurações da empresa" no menu suspenso para foto do perfil em GitHub Enterprise Server

  2. In the enterprise account sidebar, click GitHub Connect. GitHub Connect tab in the enterprise account sidebar

  3. Em "Repositories can be scanned for vulnerabilities" (Os repositórios podem ser examinados para vulnerabilidades), use o menu suspenso e clique em Enabled without notifications (Habilitado sem notificações). Opcionalmente, para habilitar alertas com notificações, selecione Enabled with notifications(Habilitado com notificações). Menu suspenso para habilitar a verificação vulnerabilidades nos repositórios

    Recomendamos configurar Alertas do Dependabot sem notificações nos primeiros dias para evitar uma sobrecarga de e-mails. Após alguns dias, você poderá habilitar as notificações para receber Alertas do Dependabot, como de costume.

Exibir dependências vulneráveis no GitHub Enterprise Server

Você pode exibir todas as vulnerabilidades na sua instância do GitHub Enterprise Server e sincronizar manualmente os dados de vulnerabilidade do GitHub.com para atualizar a lista.

  1. A partir de uma conta administrativa em GitHub Enterprise Server, clique em no canto superior direito de qualquer página. Ícone de foguete para acessar as configurações de administrador do site
  2. Na barra lateral esquerda, clique em Vulnerabilities (Vulnerabilidades). Guia Vulnerabilities (Vulnerabilidades) na barra lateral de administração do site
  3. Para sincronizar os dados de vulnerabilidade, clique em Sync Vulnerabilities now (Sincronizar vulnerabilidades agora). Botão Sync Vulnerabilities now (Sincronizar vulnerabilidades agora)

Esse documento ajudou você?

Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.