Sobre Dependabot para GitHub Enterprise Server
Dependabot ajuda os usuários do your GitHub Enterprise Server instance a encontrar e corrigir vulnerabilidades em suas dependências. Você pode habilitar Alertas do Dependabot para notificar os usuários sobre dependências vulneráveis e Atualizações de Dependabot para corrigir as vulnerabilidades e manter as dependências atualizadas para a última versão.
Sobre Alertas do Dependabot
Com Alertas do Dependabot, GitHub identifica dependências vulneráveis nos repositórios e cria alertas em your GitHub Enterprise Server instance, usando dados do Banco de Dados Consultivo GitHub e o serviço gráfico de dependências.
Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:
- A Base de Dados de Vulnerabilidade Nacional
- Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
- Consultorias de segurança relatadas em GitHub
- O banco de dados de Consultorias de segurança de npm
Após habilitar o recurso Alertas do Dependabot para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o Banco de Dados Consultivo GitHub e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. For more information about advisory data, see "Browsing security vulnerabilities in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.
Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, consulteVisualizando os dados de vulnerabilidade da sua empresa".
Observação: Ao habilitar Alertas do Dependabot, nenhum código ou informação sobre o código de your GitHub Enterprise Server instance será enviado para GitHub.com.
Quando your GitHub Enterprise Server instance recebe informações sobre uma vulnerabilidade, ele identifica repositórios em your GitHub Enterprise Server instance que usam a versão afetada da dependência e gera Alertas do Dependabot. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Alertas do Dependabot.
Para repositórios com Alertas do Dependabot habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a your GitHub Enterprise Server instance, GitHub Enterprise Server digitaliza todos os repositórios existentes em your GitHub Enterprise Server instance e gera alertas para qualquer repositório que seja vulnerável. Para obter mais informações, consulte "Sobre Alertas do Dependabot".
Sobre Atualizações de Dependabot
Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.
Após habilitar Alertas do Dependabot, você poderá optar por habilitar Atualizações de Dependabot. Quando Atualizações de Dependabot está habilitado para your GitHub Enterprise Server instance, os usuários podem configurar repositórios para que suas dependências sejam atualizadas e mantidas seguras automaticamente.
Nota: Atualizações de Dependabot em GitHub Enterprise Server exige GitHub Actions com executores auto-hospedados.
Por padrão, os executores de GitHub Actions usados por Dependabot precisam de acesso à internet para fazer o download dos pacotes atualizados de gerentes de pacotes upstream. Para Atualizações de Dependabot alimentado por GitHub Connect, o acesso à internet fornece aos seus executores um token que permite acesso a dependências e consultorias hospedadas em GitHub.com.
Com Atualizações de Dependabot, GitHub cria automaticamente pull requests para atualizar dependências de duas maneiras.
- Atualizações de versão do Dependabot: Os usuários adicionam um arquivo de configuração de Dependabot ao repositório para habilitar Dependabot e criar pull requests quando uma nova versão de uma dependência monitorada for lançada. Para obter mais informações, consulte "Sobre Atualizações de versão do Dependabot".
- Atualizações de segurança do Dependabot: Os usuários alternam uma configuração de repositório para habilitar Dependabot para criar pull requests quando GitHub detecta uma vulnerabilidade em uma das dependências do gráfico de dependências para o repositório. Para obter mais informações, consulte "Sobre Alertas do Dependabot" e "Sobre Atualizações de segurança do Dependabot".
Habilitando Alertas do Dependabot
Antes de poder habilitar Alertas do Dependabot:
- Você deve habilitar GitHub Connect. Para obter mais informações, consulte "Gerenciando GitHub Connect".
- Você deve habilitar o gráfico de dependências. Para obter mais informações, consulte "Habilitando o gráfico de dependências para sua empresa."
-
No canto superior direito de GitHub Enterprise Server, clique na sua foto de perfil e, em seguida, clique em Configurações da empresa.
-
In the enterprise account sidebar, click GitHub Connect.
-
Em "Repositórios podem ser digitalizados com relação a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com as notificações.
Dica: Recomendamos configurar Alertas do Dependabot sem notificações para os primeiros dias para evitar uma sobrecarga de e-mails. Após alguns dias, você poderá habilitar as notificações para receber Alertas do Dependabot, como de costume.
Ao habilitar Alertas do Dependabot, você também deve considerar configurar GitHub Actions para Atualizações de segurança do Dependabot. Este recurso permite aos desenvolvedores corrigir a vulnerabilidades nas suas dependências. Para obter mais informações, consulte "Gerenciar executores auto-hospedados para Atualizações de Dependabot na sua empresa. "
Se você precisar de segurança reforçada, recomendamos configurar Dependabot para usar registros privados. Para obter mais informações, consulte "Gerenciando segredos criptografados para Dependabot".