Сведения о Dependabot для GitHub AE
Dependabot помогает пользователям ваше предприятие находить и устранять уязвимости в зависимостях.
Примечание. Dependabot alerts в настоящее время доступен в бета-версии и может быть изменен.
С помощью Dependabot alerts GitHub определяет небезопасные зависимости в репозиториях и создает оповещения для ваше предприятие, используя данные из GitHub Advisory Database и службы граф зависимостей.
Мы добавляем советы в GitHub Advisory Database из следующих источников.
- Советы по безопасности, опубликованные в GitHub
- Национальная база данных уязвимостей
- База данных рекомендаций по безопасности npm
- База данных FriendsOfPHP
- База данных Go Vulncheck
- База данных рекомендаций по упаковке Python
- База данных рекомендаций Ruby
- База данных рекомендаций RustSec
- Вклад сообщества. Дополнительные сведения см. на веб-сайте https://github.com/github/advisory-database/pulls.
Если вы знаете другую базу данных, из которую следует импортировать рекомендации, сообщите нам об этом, открыв проблему в https://github.com/github/advisory-database.
После включения Dependabot alerts для вашего предприятия данные об уязвимостях синхронизируются из GitHub Advisory Database с вашим экземпляром один раз в час. Синхронизируются только советы, проверенные GitHub. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.
Вы также можете в любое время синхронизировать данные уязвимостей вручную. Дополнительные сведения см. в разделе Просмотр данных об уязвимостях для организации.
Примечание: При включении Dependabot alerts код или сведения о коде из ваше предприятие не передаются в GitHub.com.
Когда ваше предприятие получает сведения об уязвимости, он определяет репозитории в ваше предприятие, использующие затронутую версию зависимости, и создает Dependabot alerts. Вы можете выбрать, следует ли автоматически уведомлять пользователей о новых Dependabot alerts.
Для репозиториев с включенными Dependabot alerts сканирование активируется при любой отправке в ветвь по умолчанию, которая содержит файл манифеста или файл блокировки. Кроме того, при добавлении новой записи уязвимости в ваше предприятие GitHub AE сканирует все существующие репозитории в ваше предприятие и создает оповещения для всех уязвимых репозиториев. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
Включение Dependabot alerts
Перед включением Dependabot alerts:
- Необходимо включить GitHub Connect. Дополнительные сведения см. в разделе Управление GitHub Connect.
-
В правом верхнем углу GitHub AE щелкните фотографию профиля и выберите Параметры предприятия.
1. На боковой панели корпоративной учетной записи щелкните GitHub Connect. -
В разделе "Репозитории можно сканировать наличие уязвимостей" нажмите раскрывающееся меню и выберите Включено без уведомлений. При необходимости, чтобы включить оповещения с уведомлениями, нажмите Включено с уведомлениями.
Совет. В течение первых нескольких дней рекомендуется настроить Dependabot alerts без уведомлений, чтобы избежать перегрузки сообщений электронной почты. Через несколько дней можно включить уведомления для получения Dependabot alerts в обычном режиме.