About alerts for vulnerable dependencies on GitHub Enterprise Server
We add vulnerabilities to the GitHub Advisory Database from the following sources:
- National Vulnerability Database
- GitHub上のパブリックなコミット内の脆弱性の検出に、機械学習と人間によるレビューの組み合わせ
- Security advisories reported on GitHub
- FriendsOfPHP For more information, see "About alerts for vulnerable dependencies."
GitHub Enterprise Server インスタンスをGitHub.comに接続して、インスタンスに脆弱性データを同期させ、脆弱性のある依存関係を持つリポジトリ内にセキュリティアラートを生成します。
GitHub Enterprise Server インスタンスを GitHub.comに接続し、脆弱性のある依存関係に関するセキュリティアラートを有効化すると、GitHub.comからのあなたのインスタンスへ、脆弱性データが 1 時間に 1 回同期されます。 また、脆弱性データはいつでも手動で同期することができます。 GitHub Enterprise Server インスタンス からのコードまたはコードに関する情報は、GitHub.com にアップロードされません。
GitHub Enterprise Server インスタンス が脆弱性に関する情報を受信すると、影響を受けるバージョンの依存関係を使用するインスタンス内のリポジトリを識別し、それらのリポジトリ内の管理者アクセス権を持つコードオーナーおよび人にセキュリティアラートを送信します。 セキュリティアラートの受信方法をカスタマイズすることができます。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。
GitHub Enterprise Serverで脆弱性のある依存関係に対するアラートを有効化する
GitHub Enterprise Server インスタンス で脆弱性のある依存関係に対するセキュリティアラートを有効化する前に、GitHub Enterprise Server インスタンス を GitHub.com に接続する必要があります。 詳細は、「GitHub Enterprise ServerをGitHub Enterprise Cloudに接続する」を参照してください。
-
http(s)://HOSTNAME/login
でGitHub Enterprise Server インスタンスにサインインしてください。 -
管理シェルで、GitHub Enterprise Server インスタンス の脆弱性のある依存関係に対するセキュリティアラートを有効化します。
$ ghe-dep-graph-enable
-
GitHub Enterprise Serverに戻ります。
-
任意のページの右上で をクリックします。
-
左のサイドバーでEnterpriseをクリックしてください。
-
Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
-
左のサイドバーでGitHub Connectをクリックしてください。
-
「Repositories can be scanned for vulnerabilities」で、ドロップダウンメニューを使用して「Enabled」を選択します。
GitHub Enterprise Serverで脆弱性のある依存関係を表示する
GitHub Enterprise Server インスタンスですべての脆弱性を表示し、GitHub.comから脆弱性データを手動で同期して、リストを更新することができます。
- 任意のページの右上で をクリックします。
- 左サイドバーで [Vulnerabilities] をクリックします。
- 脆弱性データを同期するには、[Sync Vulnerabilities now] をクリックします。