关于 GitHub AE 的 Dependabot
Dependabot 有助于 你的企业 的用户查找和消除其依赖项中的漏洞。
注意:Dependabot alerts 目前为 beta 版本,可能会随时更改。
使用 Dependabot alerts,GitHub 可识别存储库中不安全的依赖项,并使用来自 GitHub Advisory Database 和依赖项关系图服务的数据在 你的企业 上创建警报。
我们从以下来源向 GitHub Advisory Database 添加公告信息:
- GitHub 上报告的安全通告
- 国家漏洞数据库
- npm 安全顾问数据库
- FriendsOfPHP 数据库
- Go Vulncheck 数据库
- Python Packaging Advisory 数据库
- Ruby Advisory 数据库
- RustSec Advisory 数据库
- 社区贡献。 有关详细信息,请参阅 https://github.com/github/advisory-database/pulls。
如果你知道我们应该从中导入顾问的另一个数据库,请通过在 https://github.com/github/advisory-database 中创建问题来告诉我们。
在为企业启用 Dependabot alerts 后,漏洞数据会每小时从 GitHub Advisory Database 同步到实例一次。 仅同步 GitHub 审核的公告。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。
您还可以随时选择手动同步漏洞数据。 有关详细信息,请参阅“查看企业的漏洞数据”。
注意:启用 Dependabot alerts 时,不会将来自 你的企业 的代码或有关代码的信息上传到 GitHub.com。
当 你的企业 接收到有关漏洞的信息时,它将识别 你的企业 中使用受影响依赖项版本的存储库,并生成 Dependabot alerts。 可选择是否自动通知用户有关新的 Dependabot alerts。
对于启用了 Dependabot alerts 的存储库,扫描会在任何推送到包含清单文件或锁定文件的默认分支时触发。 此外,当向 你的企业 添加新漏洞记录时,GitHub AE 会扫描 你的企业 上的所有现有存储库并对任何易受攻击的存储库生成警报。 有关详细信息,请参阅“关于 Dependabot 警报”。
启用 Dependabot alerts
然后才能启用 Dependabot alerts:
- 必须启用 GitHub Connect。 有关详细信息,请参阅“管理 GitHub Connect”。
-
在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。
-
在企业帐户边栏中,单击 GitHub Connect。
-
在“可扫描存储库有无漏洞”下,使用下拉菜单,并单击“启用但不通知”。 (可选)要启用警报和通知,请单击“启用并通知”。
提示:我们建议将 Dependabot alerts 配置为在前几天发出警报但不通知,以避免电子邮件过载。 几天后,可以启用通知,像往常一样接收 Dependabot alerts。