Skip to main content

关于依赖项审查

依赖项审查可让您在将有漏洞的依赖项引入您的环境之前找到它们,并提供关于许可证、依赖项和依赖项存在时间的信息。

Dependency review is available for all public repositories, as well as well as private repositories owned by organizations where GitHub Advanced Security is enabled. 更多信息请参阅“关于 GitHub Advanced Security”。

关于依赖项审查

依赖项审查帮助您了解依赖项变化以及这些变化在每个拉取请求中的安全影响。 它提供了一个易于理解的依赖项变化视图,多差异显示在拉取请求的“Files Changed(更改的文件)”选项卡上。 依赖项审查告知您:

  • 哪些依赖项连同发行日期一起添加、删除或更新。
  • 有多少项目使用这些组件。
  • 这些依赖项的漏洞数据。

如果拉取请求针对仓库的默认分支并且包含对包清单或锁定文件的更改,您可以显示依赖项审查以查看更改的内容。 依赖项审查包括对锁定文件中间接依赖项的更改详情,并告诉您任何已添加或更新的依赖项是否包含已知漏洞。

依赖项审查适用于:

  • 所有公共仓库。
  • 由具有 Advanced Security 许可的组织所拥有并且启用了依赖关系图的私有仓库。 更多信息请参阅“探索仓库的依赖项”。

有时,您可能只想更新清单中一个依赖项的版本并生成拉取请求。 但是,如果此直接依赖项的更新版本也更新了依赖项,则拉取请求的更改可能超过您的预期。 每个清单和锁定文件的依赖项审查提供了一种简单的方法来查看更改的内容,以及任何新的依赖项版本是否包含已知的漏洞。

通过检查拉取请求中的依赖项审查并更改被标记为有漏洞的任何依赖项,可以避免将漏洞添加到项目中。 有关依赖项审查工作的更多信息,请参阅“审查拉取请求中的依赖项更改”。

Dependabot 警报 将会查找依赖项中存在的漏洞,但避免引入潜在问题比在以后修复它们要好得多。 有关 Dependabot 警报 的更多信息,请参阅“关于有漏洞依赖项的警报”。

依赖项审查支持与依赖关系图相同的语言和包管理生态系统。 更多信息请参阅“关于依赖关系图”。

启用依赖项审查

启用依赖关系图时,依赖项审查功能可用。 For more information, see "Enabling the dependency graph."