Skip to main content

Habilitando o gráfico de dependências e alertas de dependências para a sua empresa

Você pode permitir que os usuários de your GitHub Enterprise Server instance encontrem e corrijam vulnerabilidades em dependências de código, habilitando o gráfico de dependências e Alertas do Dependabot.

Enterprise owners who are also owners of the connected GitHub Enterprise Cloud organization or enterprise account can enable the dependency graph and Alertas do Dependabot on your GitHub Enterprise Server instance.

Sobre alertas para dependências vulneráveis no your GitHub Enterprise Server instance

GitHub identifica dependências vulneráveis nos repositórios e cria Alertas do Dependabot em your GitHub Enterprise Server instance, usando:

  • Dados do Banco de Dados Consultivo GitHub
  • O serviço gráfico de dependências

Para obter mais informações sobre essas funcionalidades, consulte "Sobre o gráfico de dependências" e "Sobre alertas para dependências vulneráveis".

Sobre a sincronização de dados de Banco de Dados Consultivo GitHub

Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:

  • A Base de Dados de Vulnerabilidade Nacional
  • Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
  • Consultorias de segurança relatadas em GitHub
  • O banco de dados de Consultorias de segurança de npm

Você pode conectar-se your GitHub Enterprise Server instance a GitHub Enterprise Cloud com GitHub Connect. Uma vez conectados, os dados de vulnerabilidade são sincronizados de Banco de Dados Consultivo GitHub para sua instância uma vez a cada hora. Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Nenhum código ou informações sobre o código da your GitHub Enterprise Server instance são carregados para o GitHub.com.

Apenas as consultorias revisadas por GitHub estão sincronizados. For more information about advisory data, see "Browsing security vulnerabilities in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

Sobre a digitalização de repositórios com dados sincronizados do Banco de Dados Consultivo GitHub

Para repositórios com Alertas do Dependabot habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado à instância, GitHub Enterprise Server irá digitalizar todos os repositórios existentes nessa instância e gerará alertas para qualquer repositório que seja vulnerável. Para obter mais informações, consulte "Detecção de dependências vulneráveis".

Sobre a geração de Alertas do Dependabot

Se você habilitar a detecção de vulnerabilidade, quando your GitHub Enterprise Server instance recebe informações sobre uma vulnerabilidade, ela irá identificar os repositórios na sua instância que usam a versão afetada da dependência e irá gerar Alertas do Dependabot. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Alertas do Dependabot.

Habilitando o gráfico de dependências e Alertas do Dependabot para dependências vulneráveis em your GitHub Enterprise Server instance

Pré-requisitos

Para your GitHub Enterprise Server instance detectar dependências vulneráveis e gerar Alertas do Dependabot:

  • Você deve habilitar GitHub Connect. Para obter mais informações, consulte"Gerenciando GitHub Connect".
  • Você deve habilitar o serviço do gráfico de dependências.
  • Você deve habilitar a digitalização de vulnerabilidade.

Você pode habilitar o gráfico de dependências por meio do Console de gerenciamento ou do shell administrativo. Recomendamos que você siga o encaminhamento de Console de gerenciamento a menos que your GitHub Enterprise Server instance use clustering.

Habilitando o gráfico de dependências por meio do Console de gerenciamento

  1. Faça login no your GitHub Enterprise Server instance em http(s)://HOSTNAME/login.

  2. From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .

    Screenshot of the rocket ship icon for accessing site admin settings

  3. If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.

    Screenshot of "Site admin" link

  4. Na barra lateral esquerda, clique em Console de gerenciamento. Console de gerenciamento aba na barra lateral esquerda

  5. In the left sidebar, click Security. Security sidebar

  6. Em "Segurança", clique em Gráfico de dependência. Caixa de seleção para habilitar ou desabilitar o gráfico de dependências

  7. Na barra lateral esquerda, clique Save settings (Salvar configurações). Botão Save settings (Salvar configurações) no Console de gerenciamento

  8. Aguarde a conclusão da execução de suas configurações.

  9. Clique Visit your instance (Visite sua instância).

Habilitando o gráfico de dependências por meio do shell administrativo

  1. Faça login no your GitHub Enterprise Server instance em http(s)://HOSTNAME/login.

  2. No shell administrativo, habilite o gráfico de dependências em your GitHub Enterprise Server instance:

    ghe-config app.dependency-graph.enabled true

    Note: For more information about enabling access to the administrative shell via SSH, see "Accessing the administrative shell (SSH)."

  3. Aplique a configuração.

    $ ghe-config-apply
  4. Volte para o GitHub Enterprise Server.

Habilitar o Alertas do Dependabot

Antes de habilitar Alertas do Dependabot para sua instância, você deverá habilitar o gráfico de dependências. Para obter mais informações, consulte acima.

  1. No canto superior direito de GitHub Enterprise Server, clique na sua foto de perfil e, em seguida, clique em Configurações da empresa. "Configurações da empresa" no menu suspenso para foto do perfil em GitHub Enterprise Server

  2. In the enterprise account sidebar, click GitHub Connect. GitHub Connect tab in the enterprise account sidebar

  3. Em "Repositórios podem ser digitalizados com relação a vulnerabilidades", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com as notificações. Menu suspenso para habilitar a verificação vulnerabilidades nos repositórios

    Dica: Recomendamos configurar Alertas do Dependabot sem notificações para os primeiros dias para evitar uma sobrecarga de e-mails. Após alguns dias, você poderá habilitar as notificações para receber Alertas do Dependabot, como de costume.

Ao habilitar Alertas do Dependabot, você também deve considerar configurar GitHub Actions para Atualizações de segurança do Dependabot. Este recurso permite aos desenvolvedores corrigir a vulnerabilidades nas suas dependências. Para obter mais informações, consulte "Configurando a segurança de Dependabot e as atualizações de versão na sua empresa".

Exibir dependências vulneráveis no your GitHub Enterprise Server instance

Você pode exibir todas as vulnerabilidades na your GitHub Enterprise Server instance e sincronizar manualmente os dados de vulnerabilidade do GitHub.com para atualizar a lista.

  1. From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .

    Screenshot of the rocket ship icon for accessing site admin settings

  2. If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.

    Screenshot of "Site admin" link

  3. Na barra lateral esquerda, clique em Vulnerabilities (Vulnerabilidades). Guia Vulnerabilities (Vulnerabilidades) na barra lateral de administração do site

  4. Para sincronizar os dados de vulnerabilidade, clique em Sync Vulnerabilities now (Sincronizar vulnerabilidades agora). Botão Sync Vulnerabilities now (Sincronizar vulnerabilidades agora)