关于依赖项审查

依赖项审查可让您在将有漏洞的依赖项引入您的环境之前找到它们,并提供关于许可证、依赖项和依赖项存在时间的信息。

Dependency review is available for organization-owned repositories where GitHub Advanced Security is enabled. 更多信息请参阅“关于 GitHub Advanced Security”。

注意:依赖项审查目前处于测试阶段,可能会更改。

关于依赖项审查

依赖项审查帮助您了解依赖项变化以及这些变化在每个拉取请求中的安全影响。 它提供了一个易于理解的依赖项变化视图,多差异显示在拉取请求的“Files Changed(更改的文件)”选项卡上。 依赖项审查告知您:

  • 哪些依赖项连同发行日期一起添加、删除或更新。
  • 有多少项目使用这些组件。
  • 这些依赖项的漏洞数据。

如果拉取请求针对仓库的默认分支并且包含对包清单或锁定文件的更改,您可以显示依赖项审查以查看更改的内容。 依赖项审查包括对锁定文件中间接依赖项的更改详情,并告诉您任何已添加或更新的依赖项是否包含已知漏洞。

为 your GitHub Enterprise Server instance 启用依赖关系图并为组织或仓库启用Advanced Security 时,依赖项审查可用。

有时,您可能只想更新清单中一个依赖项的版本并生成拉取请求。 但是,如果此直接依赖项的更新版本也更新了依赖项,则拉取请求的更改可能超过您的预期。 每个清单和锁定文件的依赖项审查提供了一种简单的方法来查看更改的内容,以及任何新的依赖项版本是否包含已知的漏洞。

通过检查拉取请求中的依赖项审查并更改被标记为有漏洞的任何依赖项,可以避免将漏洞添加到项目中。 For more information about how dependency review works, see "Reviewing dependency changes in a pull request."

Dependabot 警报 将会查找依赖项中存在的漏洞,但避免引入潜在问题比在以后修复它们要好得多。 有关 Dependabot 警报 的更多信息,请参阅“关于有漏洞依赖项的警报”。

依赖项审查支持与依赖关系图相同的语言和包管理生态系统。 更多信息请参阅“关于依赖关系图”。

启用依赖项审查

启用依赖关系图时,依赖项审查功能可用。 更多信息请参阅“在企业帐户上启用依赖关系图和 Dependabot 警报”。

此文档对您有帮助吗?

隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或者, 了解如何参与。