Skip to main content

Включение Dependabot для предприятия

Вы можете разрешить пользователям находить и устранять уязвимости в зависимостях кода, настроив Dependabot alerts и Dependabot updates.

Кто может использовать эту функцию?

Enterprise owners can set up Dependabot.

О DependabotGitHub Enterprise Server

Dependabot помогает пользователям находить и устранять уязвимости в их зависимостях. Сначала необходимо настроить Dependabot для вашего предприятия, а затем можно включить Dependabot alerts уведомление пользователей о уязвимых зависимостях и Dependabot updates устранить уязвимости и сохранить зависимости до последней версии.

Dependabot — это только одна из многих функций, доступных для обеспечения безопасности GitHubцепочки поставок. Дополнительные сведения о других функциях см. в разделе Безопасность цепочки поставок для вашего предприятия.

Около Dependabot alerts

С Dependabot alertsпомощью идентифицирует GitHub небезопасные зависимости в репозиториях и создает оповещения на GitHub Enterprise Serverоснове данных из GitHub Advisory Database службы графов зависимостей.

Мы добавляем советы в GitHub Advisory Database из следующих источников.

Если вы знаете другую базу данных, из которую мы должны импортировать рекомендации, сообщите нам об этом, открыв проблему в https://github.com/github/advisory-database.

После настройки Dependabot для вашей организации данные уязвимостей синхронизируются с экземпляром GitHub Advisory Database один раз в час. Синхронизированы только GitHubпроверенные рекомендации. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Вы также можете в любое время синхронизировать данные уязвимостей вручную. Дополнительные сведения см. в разделе Просмотр данных об уязвимостях для организации.

Примечание.

При включении Dependabot alertsкод или сведения о коде из GitHub Enterprise Server него не передаются или GitHub.comне передаютсяGHE.com.

При GitHub Enterprise Server получении сведений об уязвимости он определяет репозитории, использующие затронутую версию зависимости и генерирующие Dependabot alerts. Вы можете выбрать, следует ли автоматически уведомлять пользователей о новых Dependabot alerts.

Для репозиториев с Dependabot alerts включенным сканированием активируется при любой отправке в ветвь по умолчанию, содержащую файл манифеста или файл блокировки. Кроме того, при добавлении GitHub Enterprise Server новой записи уязвимостей выполняется проверка всех существующих репозиториев и создание оповещений для любого репозитория, который уязвим. Дополнительные сведения см. в разделе Оповещения Dependabot.

Около Dependabot updates

После включения Dependabot alertsможно включить Dependabot updates. Если Dependabot updates они включены GitHub Enterprise Server, пользователи могут настроить репозитории таким образом, чтобы их зависимости обновлялись и сохранялись автоматически.

Примечание.

Dependabot updates для GitHub Enterprise Server этого требуется GitHub Actions с локальными средствами выполнения.

По умолчанию запустите программы, GitHub Actions используемые доступом Dependabot к Интернету, для скачивания обновленных пакетов из вышестоящих диспетчеров пакетов. Для Dependabot updates доступа GitHub Connectк Интернету предоставляется маркер, позволяющий получать доступ к зависимостям и советникам, размещенным в GitHub.com.

Вы можете включить Dependabot updates определенные частные реестры для GitHub Enterprise Server экземпляров с ограниченным доступом к Интернету или нет. Дополнительные сведения см. в разделе Настройка Dependabot для работы с ограниченным доступом к Интернету.

Dependabot updates С GitHubпомощью автоматического создания запросов на вытягивание для обновления зависимостей двумя способами.

  • Dependabot version updates: пользователи добавляют Dependabot файл конфигурации в репозиторий, чтобы разрешить Dependabot создавать запросы на вытягивание при выпуске новой версии отслеживаемой зависимости. Дополнительные сведения см. в разделе Обновления версий Dependabot.
  • Dependabot security updates: пользователи переключают параметр репозитория, чтобы разрешить Dependabot создавать запросы на вытягивание при GitHub обнаружении уязвимости в одной из зависимостей графа зависимостей для репозитория. Дополнительные сведения см. в разделе [AUTOTITLE и Оповещения Dependabot](/code-security/concepts/supply-chain-security/dependabot-security-updates).

Включение Dependabot alerts

Dependabot alertsПрежде чем включить, необходимо сначала настроить Dependabot для вашего предприятия:

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  2. В верхней части страницы нажмите GitHub Connect.

  3. В разделе "Dependabot" справа от пункта "Периодическое скачиваниеGitHub Advisory Database, чтобы пользователи могли получать оповещения об уязвимостях для зависимостей кода открытый код", выберите раскрывающееся меню и нажмите кнопку "Включить без уведомлений". При необходимости, чтобы включить оповещения с уведомлениями, нажмите Включено с уведомлениями.

    Снимок экрана: раскрывающееся меню "Включить" для Dependabot alerts, в котором показаны доступные параметры.

    Примечание.

    Этот параметр управляет только электронной почтой в режиме реального времени и веб-уведомления. Предупреждения интерфейса командной строки и дайджесты электронной почты по-прежнему будут доставлены независимо от выбранного параметра.

    Совет

    Рекомендуется настроить Dependabot alerts без уведомлений в течение первых нескольких дней, чтобы избежать перегрузки уведомлений в режиме реального времени. Через несколько дней вы можете включить уведомления для получения Dependabot alerts как обычно.

Теперь вы можете включить Dependabot alerts все существующие или новые частные и внутренние репозитории на странице параметров предприятия для "Advanced Security Code security". Кроме того, администраторы репозитория и владельцы организации могут включить Dependabot alerts для каждого репозитория и организации. Общедоступные репозитории всегда включены по умолчанию. Дополнительные сведения см. в разделе Настройка оповещений Dependabot.

Включение Dependabot updates

Прежде чем включить Dependabot updates:

Dependabot updates не поддерживается, GitHub Enterprise Server если ваше предприятие использует кластеризацию.

Примечание.

После включения графа Dependabotзависимостей можно использовать действие. Это действие приведет к возникновению ошибки, если вводятся какие-либо уязвимости или недопустимые лицензии. Дополнительные сведения о действии и инструкции о том, как скачать последнюю версию, см. в разделе Использование последней версии официальных пакетных действий.

  1. Войдите в ваш экземпляр GitHub Enterprise Server по адресу http(s)://HOSTNAME/login.

  2. В учетной записи администратора GitHub Enterprise Server, в правом верхнем углу любой страницы щелкните .

  3. Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта.

  4. На боковой панели " "Администратор сайта" щелкните Консоль управления.

  5. На боковой панели "Параметры" щелкните "Безопасность".

  6. В разделе "Безопасность" выберите Dependabot updates.

  7. На боковой панели "Параметры" нажмите кнопку "Сохранить параметры".

    Примечание.

    Сохранение параметров в Консоль управления перезапускает системные службы, что может привести к простоям, видимым пользователем.

  8. Подождите завершения запуска конфигурации.

  9. Нажмите Перейти к экземпляру.

  10. Настройте выделенные локальные запуски, чтобы создать запросы на вытягивание, которые будут обновлять зависимости. Это необходимо, так как рабочие процессы используют определенную метку runner. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.

  11. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  12. В верхней части страницы нажмите GitHub Connect.

  13. В разделе "Dependabot", справа от "Пользователи могут легко обновиться до незащищенных открытый код зависимостей кода", нажмите кнопку "Включить".

При включении Dependabot alertsследует также рассмотреть возможность настройки GitHub ActionsDependabot security updates. Эта функция позволяет разработчикам устранять уязвимости в своих зависимостях. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.

Если вам нужна улучшенная безопасность, рекомендуется настроить Dependabot использование частных реестров. Дополнительные сведения см. в разделе Настройка доступа к частным реестрам для Dependabot.