Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
Enterprise Server 3.3
Português do Brasil
 
Enterprise administrators
Enterprise Server 3.3
Português do Brasil

 

Habilitando o Dependabot para sua empresa

Neste artigo

Você pode permitir que os usuários de your GitHub Enterprise Server instance encontrem e corrijam vulnerabilidades em dependências de código, habilitando Alertas do Dependabot e Atualizações de Dependabot.

Enterprise owners can enable Dependabot.

Sobre Dependabot para GitHub Enterprise Server

Dependabot ajuda os usuários do your GitHub Enterprise Server instance a encontrar e corrigir vulnerabilidades em suas dependências. Você pode habilitar Alertas do Dependabot para notificar os usuários sobre dependências vulneráveis e Atualizações de Dependabot para corrigir as vulnerabilidades e manter as dependências atualizadas para a última versão.

Sobre Alertas do Dependabot

Com Alertas do Dependabot, GitHub identifica dependências vulneráveis nos repositórios e cria alertas em your GitHub Enterprise Server instance, usando dados do Banco de Dados Consultivo GitHub e o serviço gráfico de dependências.

Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:

  • A Base de Dados de Vulnerabilidade Nacional
  • Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
  • Consultorias de segurança relatadas em GitHub
  • O banco de dados de Consultorias de segurança de npm

Após habilitar o recurso Alertas do Dependabot para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o Banco de Dados Consultivo GitHub e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. For more information about advisory data, see "Browsing security vulnerabilities in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, consulteVisualizando os dados de vulnerabilidade da sua empresa".

Observação: Ao habilitar Alertas do Dependabot, nenhum código ou informação sobre o código de your GitHub Enterprise Server instance será enviado para GitHub.com.

Quando your GitHub Enterprise Server instance recebe informações sobre uma vulnerabilidade, ele identifica repositórios em your GitHub Enterprise Server instance que usam a versão afetada da dependência e gera Alertas do Dependabot. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Alertas do Dependabot.

Para repositórios com Alertas do Dependabot habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a your GitHub Enterprise Server instance, GitHub Enterprise Server digitaliza todos os repositórios existentes em your GitHub Enterprise Server instance e gera alertas para qualquer repositório que seja vulnerável. Para obter mais informações, consulte "Sobre Alertas do Dependabot".

Sobre Atualizações de Dependabot

Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.

Após habilitar Alertas do Dependabot, você poderá optar por habilitar Atualizações de Dependabot. Quando Atualizações de Dependabot está habilitado para your GitHub Enterprise Server instance, os usuários podem configurar repositórios para que suas dependências sejam atualizadas e mantidas seguras automaticamente.

Nota: Atualizações de Dependabot em GitHub Enterprise Server exige GitHub Actions com executores auto-hospedados.

Por padrão, os executores de GitHub Actions usados por Dependabot precisam de acesso à internet para fazer o download dos pacotes atualizados de gerentes de pacotes upstream. Para Atualizações de Dependabot alimentado por GitHub Connect, o acesso à internet fornece aos seus executores um token que permite acesso a dependências e consultorias hospedadas em GitHub.com.

Com Atualizações de Dependabot, GitHub cria automaticamente pull requests para atualizar dependências de duas maneiras.

  • Atualizações de versão do Dependabot: Os usuários adicionam um arquivo de configuração de Dependabot ao repositório para habilitar Dependabot e criar pull requests quando uma nova versão de uma dependência monitorada for lançada. Para obter mais informações, consulte "Sobre Atualizações de versão do Dependabot".
  • Atualizações de segurança do Dependabot: Os usuários alternam uma configuração de repositório para habilitar Dependabot para criar pull requests quando GitHub detecta uma vulnerabilidade em uma das dependências do gráfico de dependências para o repositório. Para obter mais informações, consulte "Sobre Alertas do Dependabot" e "Sobre Atualizações de segurança do Dependabot".

Habilitando Alertas do Dependabot

Antes de poder habilitar Alertas do Dependabot:

  1. No canto superior direito de GitHub Enterprise Server, clique na sua foto de perfil e, em seguida, clique em Configurações da empresa. "Configurações da empresa" no menu suspenso para foto do perfil em GitHub Enterprise Server

  2. In the enterprise account sidebar, click GitHub Connect. GitHub Connect tab in the enterprise account sidebar

  3. Em "Repositórios podem ser digitalizados com relação a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com as notificações. Menu suspenso para habilitar a verificação vulnerabilidades nos repositórios

    Dica: Recomendamos configurar Alertas do Dependabot sem notificações para os primeiros dias para evitar uma sobrecarga de e-mails. Após alguns dias, você poderá habilitar as notificações para receber Alertas do Dependabot, como de costume.

Ao habilitar Alertas do Dependabot, você também deve considerar configurar GitHub Actions para Atualizações de segurança do Dependabot. Este recurso permite aos desenvolvedores corrigir a vulnerabilidades nas suas dependências. Para obter mais informações, consulte "Gerenciar executores auto-hospedados para Atualizações de Dependabot na sua empresa. "

Se você precisar de segurança reforçada, recomendamos configurar Dependabot para usar registros privados. Para obter mais informações, consulte "Gerenciando segredos criptografados para Dependabot".