Эта версия GitHub Enterprise Server была прекращена 2026-04-09. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Включение Dependabot для предприятия

Вы можете разрешить пользователям находить и устранять уязвимости в зависимостях кода, настроив Dependabot alerts и Dependabot updates.

Кто может использовать эту функцию?

Enterprise owners can set up Dependabot.

В этой статье

Сведения о Dependabot для GitHub Enterprise Server

Dependabot помогает пользователям находить и устранять уязвимости в их зависимостях. Сначала необходимо настроить Dependabot для вашего предприятия, а затем включить Dependabot alerts для уведомления пользователей о уязвимых зависимостях и Dependabot updates для устранения уязвимостей и сохранения зависимостей до последней версии.

Dependabot — это только одна из многих функций, доступных для обеспечения безопасности цепочки поставок для GitHub. Дополнительные сведения о других функциях см. в разделе Сведения о безопасности цепочки поставок для вашего предприятия.

Сведения о Dependabot alerts

При использовании Dependabot alertsGitHub определяет небезопасные зависимости в репозиториях и создает оповещения для GitHub Enterprise Server, используя данные из GitHub Advisory Database и службы граф зависимостей.

Мы добавляем советы в GitHub Advisory Database из следующих источников.

Если вы знаете другую базу данных, из которую мы должны импортировать рекомендации, сообщите нам об этом, открыв проблему в https://github.com/github/advisory-database.

После настройки Dependabot для вашего предприятия данные уязвимостей синхронизируются с GitHub Advisory Database с экземпляром каждые час. Синхронизируются только советы, проверенные GitHub. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Вы также можете в любое время синхронизировать данные уязвимостей вручную. Дополнительные сведения см. в разделе Просмотр данных об уязвимостях для организации.

Примечание.

Если включить Dependabot alerts, код или сведения о коде из GitHub Enterprise Server передаются в GitHub.com или GHE.com.

Когда GitHub Enterprise Server получает сведения об уязвимости, он определяет репозитории, использующие затронутую версию зависимости и генерирующие Dependabot alerts. Вы можете выбрать, следует ли автоматически уведомлять пользователей о новых Dependabot alerts.

Для репозиториев с включенными Dependabot alerts сканирование активируется при любой отправке в ветвь по умолчанию, которая содержит файл манифеста или файл блокировки. Кроме того, при добавлении новой записи уязвимостей GitHub Enterprise Server сканирует все существующие репозитории и создает оповещения для любого репозитория, который уязвим. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

Сведения о Dependabot updates

После включения Dependabot alerts можно включить Dependabot updates. Если для Dependabot updates включены GitHub Enterprise Server, пользователи могут настроить репозитории, чтобы их зависимости обновлялись и сохранялись автоматически.

Примечание.

Dependabot updates для GitHub Enterprise Server требуется GitHub Actions с локальными средствами выполнения.

По умолчанию средствам выполнения тестов GitHub Actions, используемым Dependabot, требуется доступ к Интернету, чтобы скачивать обновленные пакеты из вышестоящих диспетчеров пакетов. Для Dependabot updates на платформе GitHub Connect доступ к Интернету предоставляет средствам выполнения тестов маркер, который позволяет получить доступ к зависимостям и рекомендациям, размещенным на GitHub.com.

Вы можете включить Dependabot updates для конкретных частных реестров в экземплярах GitHub Enterprise Server с ограниченным доступом к Интернету или нет. Дополнительные сведения см. в разделе Настройка Dependabot для работы с ограниченным доступом к Интернету.

При использовании Dependabot updates GitHub автоматически создает запросы на вытягивание для обновления зависимостей двумя способами.

  • Dependabot version updates: пользователи добавляют в репозиторий файл конфигурации Dependabot, чтобы разрешить Dependabot создавать запросы на вытягивание при выпуске новой версии отслеживаемой зависимости. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.
  • Dependabot security updates: пользователи переключают параметр репозитория, чтобы разрешить Dependabot создавать запросы на вытягивание, когда GitHub обнаруживает уязвимость в одной из зависимостей графа зависимостей для репозитория. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

Включение Dependabot alerts

Прежде чем включить Dependabot alerts, необходимо сначала настроить Dependabot для вашего предприятия:

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните GitHub Connect.

  3. В разделе «Dependabot», справа от «Периодически скачивайте GitHub Advisory Database, чтобы пользователи могли получать уведомления о уязвимости по open source зависимости кода», выберите выпадающее меню и нажмите Включено без уведомлений. При необходимости, чтобы включить оповещения с уведомлениями, нажмите Включено с уведомлениями.

    Снимок экрана: раскрывающееся меню "Включить" для Dependabot alerts, в котором показаны доступные параметры.

    Примечание.

    Этот параметр управляет только электронной почтой в режиме реального времени и веб-уведомления. Предупреждения интерфейса командной строки и дайджесты электронной почты по-прежнему будут доставлены независимо от выбранного параметра.

    Совет

    Рекомендуется настроить Dependabot alerts без уведомлений в течение первых нескольких дней, чтобы избежать перегрузки уведомлений в режиме реального времени. Через несколько дней можно включить уведомления для получения Dependabot alerts в обычном режиме.

Теперь вы можете включить Dependabot alerts для всех существующих или новых частных и внутренних репозиториев на странице параметров предприятия для "Code security". Кроме того, администраторы репозитория и владелец организации могут включать Dependabot alerts для каждого репозитория и организации. Общедоступные репозитории всегда включены по умолчанию. Дополнительные сведения см. в разделе Настройка оповещений Dependabot.

Включение Dependabot updates

Перед включением Dependabot updates:

Dependabot updates не поддерживаются в GitHub Enterprise Server, если ваше предприятие использует кластеризацию.

Примечание.

После включения граф зависимостей можно использовать действие Dependabot. Это действие приведет к возникновению ошибки, если вводятся какие-либо уязвимости или недопустимые лицензии. Дополнительные сведения о действии и инструкции о том, как скачать последнюю версию, см. в разделе Использование последней версии официальных пакетных действий.

  1. Войдите в ваш экземпляр GitHub Enterprise Server по адресу http(s)://HOSTNAME/login.

  2. В учетной записи администратора GitHub Enterprise Server, в правом верхнем углу любой страницы щелкните .

  3. Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта.

  4. На боковой панели " "Администратор сайта" щелкните Консоль управления.

  5. На боковой панели "Параметры" щелкните "Безопасность".

  6. В разделе "Безопасность" выберите Dependabot updates.

  7. На боковой панели "Параметры" нажмите кнопку "Сохранить параметры".

    Примечание.

    Сохранение параметров в Консоль управления перезапускает системные службы, что может привести к простоям, видимым пользователем.

  8. Подождите завершения запуска конфигурации.

  9. Нажмите Перейти к экземпляру.

  10. Настройте выделенные локальные запуски, чтобы создать запросы на вытягивание, которые будут обновлять зависимости. Это необходимо, так как рабочие процессы используют определенную метку runner. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.

  11. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  12. В левой части страницы на боковой панели учетной записи предприятия щелкните GitHub Connect.

  13. В разделе «Dependabot», справа от «Пользователи могут легко обновиться до неуязвимых open source зависимостей кода», нажмите Включить.

При включении Dependabot alerts следует также учитывать настройку GitHub Actions для Dependabot security updates. Эта функция позволяет разработчикам устранять уязвимости в своих зависимостях. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.

Если требуется повышенная безопасность, рекомендуется настроить Dependabot так, чтобы использовать частные реестры. Дополнительные сведения см. в разделе Настройка доступа к частным реестрам для Dependabot.