Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre a segurança da cadeia de suprimento

GitHub Enterprise Server ajuda você a proteger sua cadeia de suprimentos, de entender as dependências do seu ambiente, conhecer as vulnerabilidades nessas dependências e corrigi-las.

Sobre a segurança da cadeia de suprimentos no GitHub

Com o uso acelerado de código aberto, a maioria dos projetos depende de centenas de dependências de código aberto. Isso coloca um problema de segurança: e se as dependências que você estiver usando forem vulneráveis? Você poderia colocar os seus usuários em risco de ataque da cadeia de suprimentos. Uma das coisas mais importantes que você pode fazer para proteger sua cadeia de suprimentos é corrigir suas dependências vulneráveis.

Você adiciona dependências diretamente à sua cadeia de suprimentos ao especificá-las em um arquivo de manifesto ou um arquivo de bloqueio. As dependências também podem ser incluídas transitoriamente, ou seja, até mesmo se você não especificar uma dependência em particular, mas a sua dependência a usa, portanto, você também depende dessa dependência.

GitHub Enterprise Server oferece uma variedade de recursos para ajudar você a entender as dependências do seu ambiente,conhecer as vulnerabilidades nessas dependências e corrigi-las.

As funcionalidades da cadeia de suprimentos em GitHub Enterprise Server são:

  • Gráfico de dependências
  • Revisão de Dependência
  • Alertas do Dependabot
  • Atualizações de Dependabot
    • Atualizações de segurança do Dependabot
    • Atualizações de versão do Dependabot

O gráfico de dependências é fundamental para fornecer segurança da cadeia de suprimentos. O gráfico de dependências identifica todas as dependências a montante e as dependências públicas a jusante de um repositório ou pacote. É possível ver as dependências e algumas de suas propriedades, como informações de vulnerabilidade, no gráfico de dependências do repositório.

As outras funcionalidades da cadeia de suprimentos em GitHub dependem das informações fornecidas pelo gráfico de dependências.

  • A revisão de dependências usa o gráfico de dependências para identificar mudanças de dependências e ajuda você a entender o impacto de segurança dessas alterações ao revisar pull requests.
  • Dependabot cross-references dependency data provided by the dependency graph with the list of advisories published in the Banco de Dados Consultivo GitHub, scans your dependencies and generates Alertas do Dependabot when a potential vulnerability is detected.
  • Atualizações de segurança do Dependabot usa o gráfico de dependências e Alertas do Dependabot para ajudar você a atualizar dependências com vulnerabilidades conhecidas no seu repositório.

Atualizações de versão do Dependabot não usa o gráfico de dependências e confia na versão semântica das dependências. Atualizações de versão do Dependabot ajuda você a manter suas dependências atualizadas, mesmo quando elas não têm nenhuma vulnerabilidade.

Para oter guias sobre as práticas recomendadas de segurança da cadeia de suprimentos de ponta a ponta, incluindo a proteção de contas pessoais, código e processos de compilação, consulte "Protegendo sua cadeia de suprimentos de ponta a ponta".

Visão geral de recursos

Qual é o gráfico de dependências

Para gerar o gráfico de dependência, GitHub analisa as dependências explícitas de um repositório declaradas no manifesto e no arquivo de bloqueio. Quando habilitado, o gráfico de dependências analisa automaticamente todos os arquivos de manifesto de pacote conhecidos no repositório, e usa isto para construir um gráfico com nomes e versões conhecidas das dependências.

  • O gráfico de dependências inclui informações sobre suas dependências diretas e dependências transitivas.
  • O gráfico de dependência é atualizado automaticamente quando você faz push de um commit para GitHub que altera ou adiciona um manifesto compatível ou um arquivo de bloqueio para o branch padrão, e quando alguém fizer uma alteração no repositório de uma de suas dependências.
  • É possível ver o gráfico de dependências abrindo a página principal do repositório no GitHub Enterprise Server e acessando a aba Insights.

Para obter mais informações sobre o gráfico de dependências, consulte "Sobre o gráfico de dependências".

O que é revisão de dependências

A revisão de dependências ajuda os revisores e colaboradores a entenderem as mudanças de dependência e seu impacto de segurança em cada pull request.

  • A revisão de dependências informa quais dependências foram adicionadas, removidas ou atualizadas em um pull request. Você pode usar as datas de versão, a popularidade das dependências e informações de vulnerabilidade para ajudar você a decidir se deseja aceitar a alteração.
  • Você pode ver a revisão de dependências para um pull request mostrando o diff avançado na abaArquivos alterados.

Para obter mais informações sobre a análise de dependências, consulte "Sobre a revisão de dependências".

O que é o Dependabot

Dependabot mantém suas dependências atualizadas informando você de qualquer vulnerabilidade de segurança em suas dependências e abre automaticamente os pull requests para atualizar suas dependências para a próxima versão segura disponível quando um alerta der Dependabot é acionado ou, na última versão, quando uma versão é publicada.

O termo "Dependabot" engloba as seguintes funcionalidades:

  • Alertas do Dependabot—Notificação exibida na aba Segurança do repositório e no gráfico de dependências do repositório. O alerta inclui um link para o arquivo afetado no projeto, e informações sobre uma versão corrigida.
  • Atualizações de Dependabot:
    • Atualizações de segurança do Dependabot—Atualizações acionadas para atualizar suas dependências para uma versão segura quando um alerta é acionado.
    • Atualizações de versão do Dependabot— Atualizações agendadas para manter suas dependências atualizadas com a versão mais recente.

Quais são os alertas do Dependabot

Alertas do Dependabot highlight repositories affected by a newly discovered vulnerability based on the dependency graph and the Banco de Dados Consultivo GitHub, which contains advisories for known vulnerabilities.

  • Dependabot performs a scan to detect insecure dependencies and sends Alertas do Dependabot when:

    • São sincronizados novos dados de consultoria com your GitHub Enterprise Server instance a cada hora a partir de GitHub.com. For more information about advisory data, see "Browsing security advisories in the Banco de Dados Consultivo GitHub" in the GitHub.com documentation.

    • O gráfico de dependências para as alterações no repositório.

  • Alertas do Dependabot são exibidos na aba Segurança do repositório e no gráfico de dependências do repositório. O alerta inclui um link para o arquivo afetado no projeto, e informações sobre uma versão fixa.

Para obter mais informações, consulte "Sobre Alertas do Dependabot".

Quais são as atualizações do Dependabot

Há dois tipos de Atualizações de Dependabot: Dependabot atualizações de segurança e atualizações de versão. Dependabot gera pull requests automáticos para atualizar suas dependências em ambos os casos, mas existem várias diferenças.

Atualizações de segurança do Dependabot:

  • Acionado por um alerta de Dependabot
  • Atualizar dependências para a versão mínima que resolve uma vulnerabilidade conhecida
  • Compatível para os ecossistemas que o gráfico de dependências suporta
  • Não exige um arquivo de configuração, mas você pode usar um para substituir o comportamento padrão

Atualizações de versão do Dependabot:

  • Exige um arquivo de configuração
  • Executar em um calendário que você configura
  • Atualizar dependências para a última versão que corresponde à configuração
  • Compatível para um grupo diferente de ecossistemas

Para obter mais informações sobre Atualizações de Dependabot, consulte "Sobre Atualizações de segurança do Dependabot" e "Sobre Atualizações de versão do Dependabot".

Disponibilidade de recursos

  • Gráfico de dependência e Alertas do Dependabot—não habilitado por padrão. Ambas as funcionalidades são configuradas a nível empresarial pelo proprietário da empresa. For more information, see "Enabling the dependency graph for your enterprise" and "Enabling Dependabot for your enterprise."

  • Revisão de dependência—disponível quando o gráfico de dependências está habilitado para your GitHub Enterprise Server instance e Segurança Avançada está habilitado para a organização ou repositório. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub."

  • Atualizações de segurança do Dependabot—não habilitado por padrão. É possível habilitar o Atualizações de segurança do Dependabot para qualquer repositório que use Alertas do Dependabot e o gráfico de dependências. Para obter mais informações sobre habilitar atualizações de segurança, consulte "Configurar Atualizações de segurança do Dependabot."

  • Atualizações de versão do Dependabot—não habilitado por padrão. As pessoas com permissões de gravação em um repositório podem habilitar Atualizações de versão do Dependabot. Para obter mais informações sobre habilitar atualizações de versão, consulte "Configurar Atualizações de versão do Dependabot."