Skip to main content

GitHub AE 目前处于受限版。

为企业启用 Dependabot

可以通过启用 Dependabot alerts 让 你的企业 的用户查找并消除其代码依赖项中的漏洞。

谁可以使用此功能

Enterprise owners can enable Dependabot.

关于 GitHub AE 的 Dependabot

Dependabot 有助于 你的企业 的用户查找和消除其依赖项中的漏洞。

注意:Dependabot alerts 目前为 beta 版本,可能会随时更改。

使用 Dependabot alerts,GitHub 可识别存储库中不安全的依赖项,并使用来自 GitHub Advisory Database 和依赖项关系图服务的数据在 你的企业 上创建警报。

我们从以下来源向 GitHub Advisory Database 添加公告信息:

如果你知道我们应该从中导入顾问的另一个数据库,请通过在 https://github.com/github/advisory-database 中创建问题来告诉我们。

在为企业启用 Dependabot alerts 后,漏洞数据会每小时从 GitHub Advisory Database 同步到实例一次。 仅同步 GitHub 审核的公告。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。

您还可以随时选择手动同步漏洞数据。 有关详细信息,请参阅“查看企业的漏洞数据”。

注意:启用 Dependabot alerts 时,不会将来自 你的企业 的代码或有关代码的信息上传到 GitHub.com。

当 你的企业 接收到有关漏洞的信息时,它将识别 你的企业 中使用受影响依赖项版本的存储库,并生成 Dependabot alerts。 可选择是否自动通知用户有关新的 Dependabot alerts。

对于启用了 Dependabot alerts 的存储库,扫描会在任何推送到包含清单文件或锁定文件的默认分支时触发。 此外,当向 你的企业 添加新漏洞记录时,GitHub AE 会扫描 你的企业 上的所有现有存储库并对任何易受攻击的存储库生成警报。 有关详细信息,请参阅“关于 Dependabot 警报”。

启用 Dependabot alerts

然后才能启用 Dependabot alerts:

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。

    单击 GitHub Enterprise Server 上的个人资料照片时显示下拉菜单的屏幕截图。 “企业设置”选项以深橙色边框突出显示。

  2. 在企业帐户边栏中,单击 GitHub Connect。

  3. 在“可扫描存储库有无漏洞”下,使用下拉菜单,并单击“启用但不通知”。 (可选)要启用警报和通知,请单击“启用并通知”。

提示:我们建议将 Dependabot alerts 配置为在前几天发出警报但不通知,以避免电子邮件过载。 几天后,可以启用通知,像往常一样接收 Dependabot alerts。