Esta versão do GitHub Enterprise Server foi descontinuada em 2024-03-26. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Habilitando o Dependabot para sua empresa

É possível permitir que os usuários do sua instância do GitHub Enterprise Server encontrem e corrijam vulnerabilidades em dependências de códigohabilitando Dependabot alerts e Dependabot updates.

Quem pode usar esse recurso?

Enterprise owners can enable Dependabot.

Neste artigo

Sobre Dependabot para GitHub Enterprise Server

O Dependabot ajuda os usuários do sua instância do GitHub Enterprise Server a encontrar e corrigir vulnerabilidades em suas dependências. Primeiro, habilite Dependabot alerts para notificar os usuários sobre dependências vulneráveis e Dependabot updates para corrigir as vulnerabilidades e manter as dependências atualizadas com a versão mais recente.

Dependabot é apenas um dos muitos recursos disponíveis para fortalecer a segurança da cadeia de suprimentos de sua instância do GitHub Enterprise Server. Para obter mais informações sobre os outros recursos, confira "Sobre a segurança da cadeia de suprimento da sua empresa".

Sobre Dependabot alerts

Com Dependabot alerts, o GitHub identifica dependências vulneráveis nos repositórios e cria alertas no sua instância do GitHub Enterprise Server, usando dados do GitHub Advisory Database e o serviço de grafo de dependência.

Adicionamos comunicados ao GitHub Advisory Database das seguintes fontes:

Se você conhecer outro banco de dados do qual devemos importar os avisos, conte-nos sobre ele abrindo um problema em https://github.com/github/advisory-database.

Depois de habilitar Dependabot alerts para sua empresa, os dados de vulnerabilidade do GitHub Advisory Database são sincronizados com a instância uma vez a cada hora. Apenas as consultorias revisadas por GitHub estão sincronizados. Para obter mais informações, confira "Como procurar avisos de segurança no GitHub Advisory Database".

Também é possível sincronizar os dados de vulnerabilidade manualmente a qualquer momento. Para obter mais informações, confira "Visualizando os dados de vulnerabilidade para a sua empresa".

Observação: quando você habilita Dependabot alerts, nenhum código ou informação sobre o código para sua instância do GitHub Enterprise Server é carregado no GitHub.com.

Quando sua instância do GitHub Enterprise Server recebe informações sobre uma vulnerabilidade, ele identifica os repositórios em sua instância do GitHub Enterprise Server que usam a versão afetada da dependência e gera Dependabot alerts. Você pode escolher se quer ou não notificar os usuários automaticamente sobre o novo Dependabot alerts.

Para repositórios com Dependabot alerts habilitado, a digitalização é acionada em qualquer push para o branch padrão que contém um arquivo de manifesto ou arquivo de bloqueio. Além disso, quando um novo registro de vulnerabilidade é adicionado a sua instância do GitHub Enterprise Server, o GitHub Enterprise Server verifica todos os repositórios existentes em sua instância do GitHub Enterprise Server e gera alertas sobre repositórios vulneráveis. Para obter mais informações, confira "Sobre alertas do Dependabot".

Sobre Dependabot updates

Após habilitar Dependabot alerts, você poderá optar por habilitar Dependabot updates. Quando as Dependabot updates estão habilitadas para o sua instância do GitHub Enterprise Server, os usuários podem configurar repositórios para que as dependências sejam atualizadas e mantidas seguras automaticamente.

Observação: As Dependabot updates do GitHub Enterprise Server exigem o GitHub Actions com executores auto-hospedados.

Por padrão, os executores do GitHub Actions corredores usados pelo Dependabot precisam de acesso à Internet para baixar pacotes atualizados de gerenciadores de pacotes upstream. Para Dependabot updates da plataforma GitHub Connect, o acesso à Internet oferece aos executores um token que permite acesso a dependências e avisos hospedados no GitHub.com.

Você pode habilitar Dependabot updates para registros privados específicos em instâncias de GitHub Enterprise Server com acesso limitado ou não à Internet. Para obter mais informações, confira "Configurando o Dependabot para trabalhar com acesso limitado à Internet".

Com Dependabot updates, GitHub cria automaticamente pull requests para atualizar dependências de duas maneiras.

  • Dependabot version updates : os usuários adicionam um arquivo de configuração do Dependabot ao repositório para habilitar o Dependabot a fim de criar solicitações de pull quando uma nova versão de uma dependência rastreada for lançada. Para obter mais informações, confira "Sobre as atualizações da versão do Dependabot".
  • Dependabot security updates : os usuários alternam uma configuração de repositório para habilitar o Dependabot a fim de criar solicitações de pull quando o GitHub detecta uma vulnerabilidade em uma das dependências do grafo de dependência do repositório. Para obter mais informações, confira "Sobre alertas do Dependabot" e "Sobre as atualizações de segurança do Dependabot."

Habilitando Dependabot alerts

Antes de habilitar Dependabot alerts:

  1. No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.

    Captura de tela do menu suspenso que aparece quando você clica na foto de perfil no GitHub Enterprise Server. A opção "Configurações da empresa" está realçada em um contorno laranja escuro.

  2. Na barra lateral da conta corporativa, clique em GitHub Connect .

  3. Em "Dependabot", à direita de "Os usuários podem receber alertas de vulnerabilidade quanto a dependências de código aberto", selecione o menu suspenso e clique em Habilitado sem notificações. Opcionalmente, para habilitar alertas com notificações, clique em Habilitado com notificações.

Captura de tela do menu suspenso "Habilitar" para Dependabot alerts, mostrando as opções disponíveis.

Dica: recomendamos configurar os Dependabot alerts sem notificações nos primeiros dias para evitar uma sobrecarga de emails. Após alguns dias, você poderá habilitar as notificações para receber Dependabot alerts, como de costume.

Habilitar o Dependabot updates

Após habilitar Dependabot alerts para a sua empresa, você poderá habilitar Dependabot updates.

Antes de habilitar o Dependabot updates, configure a sua instância do GitHub Enterprise Server para usar o GitHub Actions com executores auto-hospedados. Para obter mais informações, confira "Primeiros passos com o GitHub Actions para o GitHub Enterprise Server".

Dependabot updates não são compatíveis em GitHub Enterprise Server se sua empresa usar clustering.

Observação: Depois de habilitar o grafo de dependência, você pode usar a ação Dependabot. A ação gerará um erro se quaisquer vulnerabilidades ou licenças inválidas estiverem sendo introduzidas. Para obter mais informações sobre a ação e para obter instruções sobre como baixar a versão mais recente, confira "Usar a versão mais recente das ações agrupadas oficialmente".

  1. Entre no sua instância do GitHub Enterprise Server em http(s)://HOSTNAME/login.

  2. Em uma conta administrativa no GitHub Enterprise Server, no canto superior direito de qualquer página, clique em .

  3. Se você ainda não estiver na página "Administração do site", no canto superior esquerdo, clique em Administração do site.

  4. Na barra lateral " Administrador do site", clique em Console de Gerenciamento .

  5. Na barra lateral "Configurações", clique em Segurança.

  6. Em "Segurança", selecione Dependabot security updates .

  7. Na barra lateral "Configurações", clique em Salvar configurações.

    Observação: se você salvar as configurações no Console de Gerenciamento, isso reiniciará os serviços do sistema, o que poderá resultar em tempo de inatividade visível pelo usuário.

  8. Aguarde a conclusão da execução de suas configurações.

  9. Clique em Acessar sua instância.

  10. Configure executores auto-hospedados dedicados para criar as solicitações de pull que atualizarão as dependências. Isso é necessário porque os fluxos de trabalho usam um rótulo de executor específico. Para obter mais informações, confira "Gerenciar executores auto-hospedados para atualizações de Dependabot na sua empresa".

  11. No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.

    Captura de tela do menu suspenso que aparece quando você clica na foto de perfil no GitHub Enterprise Server. A opção "Configurações da empresa" está realçada em um contorno laranja escuro.

  12. Na barra lateral da conta corporativa, clique em GitHub Connect .

  13. No "Dependabot", à direita de "Os usuários podem atualizar com facilidade as dependências não vulneráveis do código-fonte", clique em Habilitar.

Ao habilitar Dependabot alerts, você também deve considerar relizar a configuração de GitHub Actions para Dependabot security updates. Este recurso permite aos desenvolvedores corrigir a vulnerabilidades nas suas dependências. Para obter mais informações, confira "Gerenciar executores auto-hospedados para atualizações de Dependabot na sua empresa".

Se você precisar de segurança aprimorada, recomendamos a configuração do Dependabot para usar registros privados. Para obter mais informações, confira "Configurando o acesso a registros privados para Dependabot".