Skip to main content

Habilitando o Dependabot para sua empresa

Você pode permitir que os usuários para your GitHub Enterprise Server instance encontrem e corrijam vulnerabilidades nas dependências do código habilitando Dependabot alerts e Dependabot updates.

Who can use this feature

Enterprise owners can enable Dependabot.

Sobre Dependabot para GitHub Enterprise Server

O Dependabot ajuda os usuários para your GitHub Enterprise Server instance a encontrar e corrigir vulnerabilidades nas dependências. Você pode habilitar Dependabot alerts para notificar os usuários sobre dependências vulneráveis e Dependabot updates para corrigir as vulnerabilidades e manter as dependências atualizadas com a última versão.

Dependabot é apenas um dos muitos recursos disponíveis para fortalecer a segurança da cadeia de suprimentos de your GitHub Enterprise Server instance. Para obter mais informações sobre os outros recursos, confira "Sobre a segurança da cadeia de suprimentos da sua empresa".

Sobre Dependabot alerts

Com Dependabot alerts, o GitHub identifica dependências vulneráveis nos repositórios e cria alertas no your GitHub Enterprise Server instance, usando dados do GitHub Advisory Database e o serviço de grafo de dependência.

We add advisories to the GitHub Advisory Database from the following sources:

If you know of another database we should be importing advisories from, tell us about it by opening an issue in https://github.com/github/advisory-database.

Após habilitar o recurso Dependabot alerts para a sua empresa, os dados de vulnerabilidade serão sincronizados entre o GitHub Advisory Database e a sua instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. Para obter mais informações, confira "Procurar avisos de segurança no GitHub Advisory Database".

Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, confira "Como ver os dados de vulnerabilidade da sua empresa".

Observação: quando você habilita Dependabot alerts, nenhum código ou informação sobre o código para your GitHub Enterprise Server instance é carregado no GitHub.com.

Quando your GitHub Enterprise Server instance recebe informações sobre uma vulnerabilidade, ele identifica os repositórios em your GitHub Enterprise Server instance que usam a versão afetada da dependência e gera Dependabot alerts. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Dependabot alerts.

Para repositórios com Dependabot alerts habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a your GitHub Enterprise Server instance, o GitHub Enterprise Server verifica todos os repositórios existentes em your GitHub Enterprise Server instance e gera alertas sobre repositórios vulneráveis. Para obter mais informações, confira "Sobre os Dependabot alerts".

Sobre Dependabot updates

Note: Dependabot security and version updates are currently in public beta and subject to change.

Após habilitar Dependabot alerts, você poderá optar por habilitar Dependabot updates. Quando as Dependabot updates estão habilitadas para o your GitHub Enterprise Server instance, os usuários podem configurar repositórios para que as dependências sejam atualizadas e mantidas seguras automaticamente.

Observação: As Dependabot updates do GitHub Enterprise Server exigem o GitHub Actions com executores auto-hospedados.

Por padrão, os executores do GitHub Actions corredores usados pelo Dependabot precisam de acesso à Internet para baixar pacotes atualizados de gerenciadores de pacotes upstream. Para Dependabot updates da plataforma GitHub Connect, o acesso à Internet oferece aos executores um token que permite acesso a dependências e avisos hospedados no GitHub.com.

Com Dependabot updates, GitHub cria automaticamente pull requests para atualizar dependências de duas maneiras.

  • Dependabot version updates : os usuários adicionam um arquivo de configuração do Dependabot ao repositório para habilitar o Dependabot a fim de criar solicitações de pull quando uma nova versão de uma dependência rastreada for lançada. Para obter mais informações, confira "Sobre as Dependabot version updates".
  • Dependabot security updates : os usuários alternam uma configuração de repositório para habilitar o Dependabot a fim de criar solicitações de pull quando o GitHub detecta uma vulnerabilidade em uma das dependências do grafo de dependência do repositório. Para obter mais informações, confira "Sobre os Dependabot alerts" e "Sobre as Dependabot security updates".

Habilitando Dependabot alerts

Antes de poder habilitar Dependabot alerts:

  1. No canto superior à direita de GitHub Enterprise Server, clique na foto do perfil e clique em Configurações da empresa. "Configurações da empresa" no menu suspenso da foto do perfil em GitHub Enterprise Server 1. Na barra lateral da conta corporativa, clique em GitHub Connect . Guia do GitHub Connect na barra lateral da conta corporativa

  2. No "Dependabot", à direita de "Os usuários podem receber alertas de vulnerabilidade de dependências do código-fonte", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com notificações.

    Captura de tela do menu suspenso para habilitar a digitalização de repositórios com relação a vulnerabilidades

    Dica: recomendamos configurar os Dependabot alerts sem notificações nos primeiros dias para evitar uma sobrecarga de emails. Após alguns dias, você poderá habilitar as notificações para receber Dependabot alerts, como de costume.

Habilitar o Dependabot updates

Após habilitar Dependabot alerts para a sua empresa, você poderá habilitar Dependabot updates.

Antes de habilitar o Dependabot updates, configure a your GitHub Enterprise Server instance para usar o GitHub Actions com executores auto-hospedados. Para obter mais informações, confira "Introdução ao GitHub Actions para GitHub Enterprise Server".

Dependabot updates não são compatíveis em GitHub Enterprise Server se sua empresa usar clustering.

  1. Sign in to your GitHub Enterprise Server instance at http(s)://HOSTNAME/login. 1. Em uma conta administrativa no GitHub Enterprise Server, no canto superior direito de qualquer página, clique em .

    Captura de tela do ícone de foguete para acesso às configurações de administração do site

  2. Se você ainda não estiver na página "Administração do site", no canto superior esquerdo, clique em Administração do site.

    Captura de tela do link "Administração do site" 1. Na barra lateral à esquerda, clique em Console de Gerenciamento . Guia Console de Gerenciamento na barra lateral esquerda 1. Na barra lateral esquerda, clique em Segurança. Barra lateral de segurança

  3. Em "Segurança", selecione Dependabot security updates .

    Captura de tela da caixa de seleção para habilitar ou desabilitar Dependabot security updates

  4. Na barra lateral esquerda, clique em Salvar configurações.

    Captura de tela do botão Salvar configurações no Console de Gerenciamento

    Observação: se você salvar as configurações no Console de Gerenciamento, isso reiniciará os serviços do sistema, o que poderá resultar em tempo de inatividade visível pelo usuário.

  5. Aguarde a conclusão da execução de suas configurações.

    Configurar a instância

  6. Clique em Acessar sua instância.

  7. Configure executores auto-hospedados dedicados para criar as solicitações de pull que atualizarão as dependências. Isso é necessário porque os fluxos de trabalho usam um rótulo de executor específico. Para obter mais informações, confira "Como gerenciar executores auto-hospedados para Dependabot updates na sua empresa".

  8. No canto superior à direita de GitHub Enterprise Server, clique na foto do perfil e clique em Configurações da empresa. "Configurações da empresa" no menu suspenso da foto do perfil em GitHub Enterprise Server 1. Na barra lateral da conta corporativa, clique em GitHub Connect . Guia do GitHub Connect na barra lateral da conta corporativa

  9. No "Dependabot", à direita de "Os usuários podem atualizar com facilidade as dependências não vulneráveis do código-fonte", clique em Habilitar.

    Captura de tela do menu suspenso para habilitar a atualização de dependências vulneráveis

Ao habilitar Dependabot alerts, você também deve considerar relizar a configuração de GitHub Actions para Dependabot security updates. Este recurso permite aos desenvolvedores corrigir a vulnerabilidades nas suas dependências. Para obter mais informações, confira "Como gerenciar executores auto-hospedados para Dependabot updates na sua empresa".

Se você precisar de segurança aprimorada, recomendamos a configuração do Dependabot para usar registros privados. Para obter mais informações, confira "Gerenciar segredos criptografados do Dependabot".