关于 GitHub Enterprise Server 上易受攻击的依赖项的警报
We add vulnerabilities to the GitHub Advisory Database from the following sources:
- 国家漏洞数据库
- 机器学习和人工审查结合检测 GitHub 上公共提交中的漏洞
- Security advisories reported on GitHub
- npm 安全通告数据库
- FriendsOfPHP 更多信息请参阅“关于易受攻击的依赖项的警报”。
您可以将 您的 GitHub Enterprise Server 实例 连接到 GitHub.com,然后将漏洞数据同步到您的实例,并在包含漏洞依赖项的仓库中生成 Dependabot警报。
将 您的 GitHub Enterprise Server 实例 连接到 GitHub.com 并为易受攻击的依赖项启用 Dependabot警报后,每个小时都会将漏洞数据从 GitHub.com 同步到您的实例一次。 您还可以随时选择手动同步漏洞数据。 代码和关于代码的信息不会从 您的 GitHub Enterprise Server 实例 上传到 GitHub.com。
当 您的 GitHub Enterprise Server 实例 接收到有关漏洞的信息时,它将识别实例中使用受影响版本依赖项的仓库,并向这些仓库中具有管理员访问权限的所有者和人员发送 Dependabot 警报。 他们可以自定义接收 Dependabot 警报的方式。 更多信息请参阅“关于易受攻击的依赖项的警报”。
对 GitHub Enterprise Server 上易受攻击的依赖项启用 Dependabot 警报
对 您的 GitHub Enterprise Server 实例 上易受攻击的依赖项启用 Dependabot警报之前,必须将 您的 GitHub Enterprise Server 实例 连接到 GitHub.com。 更多信息请参阅“将 GitHub Enterprise Server 连接到 GitHub Enterprise Cloud”。
我们建议配置前几天的 Dependabot 警报不发通知,以避免电子邮件过载。 几天后,您可以开启通知,像往常一样接收 Dependabot 警报。
- 登录到
http(s)://HOSTNAME/login上的 您的 GitHub Enterprise Server 实例。 - 在管理 shell 中,对 您的 GitHub Enterprise Server 实例 上易受攻击的依赖项启用 Dependabot警报。
$ ghe-dep-graph-enable - 返回到 GitHub Enterprise Server.
- 在任何页面的右上角,单击 。
- In the left sidebar, click Enterprise overview.
- 在企业帐户侧边栏中,单击 Settings(设置)。
- 在左侧边栏中,单击 GitHub Connect。
- 在“Repositories can be scanned for vulnerabilities(可扫描仓库漏洞)”下,使用下拉菜单,并选择 Enabled without notifications(启用但不发通知)。 (可选)要启用包含通知的警报,请选择 Enabled with notifications(启用并发通知)。
查看 GitHub Enterprise Server 上易受攻击的依赖项
您可以查看 您的 GitHub Enterprise Server 实例 中的所有漏洞,然后手动同步 GitHub.com 中的漏洞数据,以更新列表。
- 在任何页面的右上角,单击 。
- 在左侧边栏中,单击 Vulnerabilities。
- 要同步漏洞数据,请单击 Sync Vulnerabilities now。
