Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
Versão do artigo: Enterprise Server 2.19

Sobre alertas para dependências vulneráveis

O GitHub Enterprise envia alertas de segurança quando detectamos vulnerabilidades que afetam o seu repositório.

Neste artigo

Sobre as dependências vulneráveis

Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. Vulnerabilities vary in type, severity, and method of attack.

Quando o seu código depende de um pacote que tenha uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas para o seu projeto ou para as pessoas que o usam.

Detecção de dependências vulneráveis

GitHub Enterprise detecta dependências vulneráveis e envia alertas de segurança quando:

Para obter uma lista dos ecossistemas para os quais o GitHub Enterprise pode detectar vulnerabilidades e dependências, consulte "Ecossistemas de pacotes compatíveis".

Observação: É importante manter seus manifestos atualizados e seu arquivos bloqueados. Se o gráfico de dependências não refletir corretamente suas dependências e versões atuais, você poderá perder alertas para dependências vulneráveis que você usar. Você também pode receber alertas de dependências que você já não usa.

Alertas de segurança para dependências vulneráveis

Your site administrator must enable security alerts for vulnerable dependencies for sua instância do GitHub Enterprise Server before you can use this feature. For more information, see "Enabling security alerts for vulnerable dependencies on GitHub Enterprise Server."

Quando GitHub Enterprise identifica uma dependência vulnerável, enviamos um segurança de para os mantenedores dos repositórios afetados, com informações sobre a vulnerabilidade, um link para o arquivo afetado no projeto, bem como informações sobre uma versão corrigida.

Observação: Os recursos de segurança de GitHub Enterprise não reivindicam garantem que todas as vulnerabilidades sejam detectadas. Embora estejamos sempre tentando atualizar nosso banco de dados de vulnerabilidades e alertar você com nossas informações mais atualizadas, não podemos capturar tudo nem alertar sobre vulnerabilidades conhecidas dentro de um prazo garantido. Esses recursos não substituem a revisão humana de cada dependência em busca de possíveis vulnerabilidades ou algum outro problema, e nossa sugestão é consultar um serviço de segurança ou realizar uma revisão completa de vulnerabilidade quando necessário.

Acesso a segurança doDependabot

É possível ver todos os alertas que afetam um determinado projeto no gráfico de dependências do repositório.

Por padrão, enviamos segurança do dependabot para pessoas com permissão de administrador nos repositórios afetados. O GitHub Enterprise nunca divulga publicamente vulnerabilidades identificadas em qualquer repositório.

Configurar notificações para

Por padrão, se o administrador do site configurou o e-mail para notificações na sua instância, você receberá alertas de segurança por e-mail. Você também pode optar por receber alertas de segurança semanalmente por e-mail, com um resumo dos alertas de até 10 dos seus repositórios, em suas notificações da web, ou na interface de usuário do GitHub Enterprise. Para obter mais informações, consulte "Escolher o método de entrega para as suas notificações ".

Email notifications for security alerts that affect one or more repositories include the X-GitHub-Severity header field. You can use the value of the X-GitHub-Severity header field to filter email notifications for security alerts. Para obter mais informações, consulte "Sobre notificações de e-mail.

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato