Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Поддержка этой версии GitHub Enterprise была прекращена 2023-03-15. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, укрепления безопасности и новых функций установите последнюю версию GitHub Enterprise. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Сведения об оповещениях Dependabot

В этой статье

GitHub Enterprise Server отправляет Dependabot alerts при выявлении того, что ваш репозиторий использует уязвимую зависимость.

Dependabot alerts можно бесплатно использовать для репозиториев (принадлежащих пользователю и организации) в GitHub Enterprise Server при условии, что администраторы предприятия включили эту функцию для вашего предприятия.

Сведения о Dependabot alerts

Dependabot alerts сообщает вам, что ваш код использует небезопасный пакет.

Если ваш код зависит от пакета с уязвимостью системы безопасности, это может вызвать ряд проблем для вашего проекта или его пользователей. Как можно быстрее выполните обновление до защищенной версии.

Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Выявление небезопасных зависимостей

Dependabot выполняет проверку для выявления небезопасных зависимостей и отправляет Dependabot alerts, когда:

Примечание. Dependabot не сканирует архивные репозитории.

Кроме того, GitHub позволяет просматривать любые зависимости, добавляемые, обновляемые или удаляемые в запросе на вытягивание к ветви по умолчанию в репозитории, а также помечать любые изменения, которые могут снизить уровень безопасности проекта. Это позволяет обнаружить уязвимые зависимости до того, как они достигнут вашей базы кода, а не после. Дополнительные сведения см. в разделе Проверка изменений зависимостей в запросе на вытягивание.

Список экосистем, в которые GitHub Enterprise Server обнаруживает небезопасные зависимости, см. в разделе Сведения о графе зависимостей.

Примечание. Важно поддерживать актуальность файлов манифеста и блокировки. Если граф зависимостей не отражает в точности текущие зависимости и версии, вы можете пропустить оповещения для используемых небезопасных зависимостей. Вы также можете получать оповещения о зависимостях, которые больше не используются.

Настройка Dependabot alerts

Владельцы предприятия должны включить Dependabot alerts для экземпляр GitHub Enterprise Server, прежде чем вы сможете использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

Когда GitHub Enterprise Server определяет уязвимую зависимость, мы создаем оповещение Dependabot и отображаем его на вкладке Безопасность для репозитория и в граф зависимостей репозитория. Оповещение содержит ссылку на затронутый файл в проекте, а также сведения об исправленной версии. GitHub Enterprise Server также может уведомлять ответственных за обслуживание затронутых репозиториев о новом оповещении в соответствии с настройками уведомлений. Дополнительные сведения см. в разделе Настройка уведомлений для оповещений Dependabot.

Для репозиториев, в которых включены Dependabot security updates, оповещение также может содержать ссылку на запрос на вытягивание для обновления манифеста или файла блокировки до минимальной версии, которая устраняет уязвимость. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.

Примечание. Для функций безопасности GitHub Enterprise Server не заявляется о возможности обнаруживать все уязвимости. Мы активно поддерживаем GitHub Advisory Database и создаем оповещения с самыми актуальными сведениями. Но мы не можем обнаружить все вредоносные программы или сообщить вам обо всех известных зависимостях за гарантированный интервал времени. Эти функции не заменяют выполняемую человеком проверку каждой зависимости на наличие потенциальных уязвимостей или любых других проблем, поэтому рекомендуется консультироваться со специалистами службы безопасности или при необходимости проводить тщательный анализ зависимостей.

Доступ к Dependabot alerts

Все оповещения, влияющие на конкретный проект в граф зависимостей репозитория. Дополнительные сведения см. в разделе Просмотр и обновление оповещений Dependabot.

По умолчанию мы уведомляем пользователей с разрешениями администраторов в затронутых репозиториях о новых Dependabot alerts.

Чтобы получать уведомления о Dependabot alerts в репозиториях, необходимо отслеживать эти репозитории и подписаться на получение уведомлений "Все действия" или настроить пользовательские параметры, чтобы добавить "Оповещения безопасности". Дополнительные сведения см. в разделе Настройка уведомлений. Вы можете выбрать способ доставки уведомлений, а также интервал отправки уведомлений. Дополнительные сведения см. в разделе Настройка уведомлений для оповещений Dependabot.

Вы также можете просмотреть все Dependabot alerts, соответствующие определенной рекомендации, в GitHub Advisory Database. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Дополнительные материалы