Sobre as dependências vulneráveis
Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. Vulnerabilities vary in type, severity, and method of attack.
Quando o seu código depende de um pacote que tenha uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas para o seu projeto ou para as pessoas que o usam.
Detecção de dependências vulneráveis
GitHub Enterprise detecta dependências vulneráveis e envia alertas de segurança quando:
- São sincronizados novos dados de consultoria com GitHub Enterprise Server a cada hora a partir de GitHub.com. Para obter mais informações sobre dados de consultoria, consulte "Procurar vulnerabilidades de segurança no Banco de Dados Consultivo GitHub
- O gráfico de dependências para alterações de repositório. For example, when a contributor pushes a commit to change the packages or versions it depends on. Para obter mais informações, consulte "Sobre o gráfico de dependência".
Para obter uma lista dos ecossistemas para os quais o GitHub Enterprise pode detectar vulnerabilidades e dependências, consulte "Ecossistemas de pacotes compatíveis".
Observação: É importante manter seus manifestos atualizados e seu arquivos bloqueados. Se o gráfico de dependências não refletir corretamente suas dependências e versões atuais, você poderá perder alertas para dependências vulneráveis que você usar. Você também pode receber alertas de dependências que você já não usa.
Alertas de segurança para dependências vulneráveis
Your site administrator must enable security alerts for vulnerable dependencies for sua instância do GitHub Enterprise Server before you can use this feature. For more information, see "Enabling security alerts for vulnerable dependencies on GitHub Enterprise Server."
Quando GitHub Enterprise identifica uma dependência vulnerável, enviamos um segurança de para os mantenedores dos repositórios afetados, com informações sobre a vulnerabilidade, um link para o arquivo afetado no projeto, bem como informações sobre uma versão corrigida.
Observação: Os recursos de segurança de GitHub Enterprise não reivindicam garantem que todas as vulnerabilidades sejam detectadas. Embora estejamos sempre tentando atualizar nosso banco de dados de vulnerabilidades e alertar você com nossas informações mais atualizadas, não podemos capturar tudo nem alertar sobre vulnerabilidades conhecidas dentro de um prazo garantido. Esses recursos não substituem a revisão humana de cada dependência em busca de possíveis vulnerabilidades ou algum outro problema, e nossa sugestão é consultar um serviço de segurança ou realizar uma revisão completa de vulnerabilidade quando necessário.
Acesso a segurança doDependabot
É possível ver todos os alertas que afetam um determinado projeto no gráfico de dependências do repositório.
Por padrão, enviamos segurança do dependabot para pessoas com permissão de administrador nos repositórios afetados. O GitHub Enterprise nunca divulga publicamente vulnerabilidades identificadas em qualquer repositório.
Configurar notificações para
Por padrão, se o administrador do site configurou o e-mail para notificações na sua instância, você receberá alertas de segurança por e-mail. Você também pode optar por receber alertas de segurança semanalmente por e-mail, com um resumo dos alertas de até 10 dos seus repositórios, em suas notificações da web, ou na interface de usuário do GitHub Enterprise. Para obter mais informações, consulte "Escolher o método de entrega para as suas notificações ".
Email notifications for security alerts that affect one or more repositories include the X-GitHub-Severity header field. You can use the value of the X-GitHub-Severity header field to filter email notifications for security alerts. Para obter mais informações, consulte "Sobre notificações de e-mail.