Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
В настоящее время GitHub AE находится в ограниченном выпуске.

Включение Dependabot для предприятия

Вы можете разрешить пользователям ваше предприятие находить и устранять уязвимости в зависимостях кода, включив Dependabot alerts.

Кто может использовать эту функцию

Enterprise owners can enable Dependabot.

Сведения о Dependabot для GitHub AE

Dependabot помогает пользователям ваше предприятие находить и устранять уязвимости в зависимостях.

Примечание. Dependabot alerts в настоящее время доступен в бета-версии и может быть изменен.

С помощью Dependabot alerts GitHub определяет небезопасные зависимости в репозиториях и создает оповещения для ваше предприятие, используя данные из GitHub Advisory Database и службы граф зависимостей.

Мы добавляем советы в GitHub Advisory Database из следующих источников.

Если вы знаете другую базу данных, из которую следует импортировать рекомендации, сообщите нам об этом, открыв проблему в https://github.com/github/advisory-database.

После включения Dependabot alerts для вашего предприятия данные об уязвимостях синхронизируются из GitHub Advisory Database с вашим экземпляром один раз в час. Синхронизируются только советы, проверенные GitHub. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Вы также можете в любое время синхронизировать данные уязвимостей вручную. Дополнительные сведения см. в разделе Просмотр данных об уязвимостях для организации.

Примечание: При включении Dependabot alerts код или сведения о коде из ваше предприятие не передаются в GitHub.com.

Когда ваше предприятие получает сведения об уязвимости, он определяет репозитории в ваше предприятие, использующие затронутую версию зависимости, и создает Dependabot alerts. Вы можете выбрать, следует ли автоматически уведомлять пользователей о новых Dependabot alerts.

Для репозиториев с включенными Dependabot alerts сканирование активируется при любой отправке в ветвь по умолчанию, которая содержит файл манифеста или файл блокировки. Кроме того, при добавлении новой записи уязвимости в ваше предприятие GitHub AE сканирует все существующие репозитории в ваше предприятие и создает оповещения для всех уязвимых репозиториев. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

Включение Dependabot alerts

Перед включением Dependabot alerts:

  1. В правом верхнем углу GitHub AE щелкните фотографию профиля и выберите Параметры предприятия. Раздел "Параметры предприятия" в раскрывающемся меню для фотографии профиля в GitHub AE 1. На боковой панели корпоративной учетной записи щелкните GitHub Connect.

  2. В разделе "Репозитории можно сканировать наличие уязвимостей" нажмите раскрывающееся меню и выберите Включено без уведомлений. При необходимости, чтобы включить оповещения с уведомлениями, нажмите Включено с уведомлениями.

    Совет. В течение первых нескольких дней рекомендуется настроить Dependabot alerts без уведомлений, чтобы избежать перегрузки сообщений электронной почты. Через несколько дней можно включить уведомления для получения Dependabot alerts в обычном режиме.