审查拉取请求中的依赖项更改

如果拉取请求包含对依赖项的更改,您可以查看已更改内容摘要以及任何依赖项中是否存在已知漏洞。

注意:依赖项审查目前处于测试阶段,可能会更改。

关于依赖项审查

依赖项审查帮助您了解依赖项变化以及这些变化在每个拉取请求中的安全影响。 它提供了一个易于理解的依赖项变化视图,多差异显示在拉取请求的“Files Changed(更改的文件)”选项卡上。 依赖项审查告知您:

  • 哪些依赖项连同发行日期一起添加、删除或更新。
  • 有多少项目使用这些组件。
  • 这些依赖项的漏洞数据。

依赖关系审核允许您“左移”。 您可以使用所提供的预测信息在易受攻击的依赖项进入生产之前捕获它们。 更多信息请参阅“关于依赖项审查”。

审查拉取请求中的依赖项

  1. 在仓库名称下,单击 拉取请求Issues and pull requests tab selection
  2. 在拉取请求列表中,单击要审查的拉取请求。
  3. 在拉取请求中,单击 Files changed(文件已更改)

Pull Request Files changed tab

  1. 如果拉取请求包含许多文件,请使用 File filter(文件过滤器)下拉菜单折叠所有不记录依赖项的文件。 这将有助于您将审查的重点放在依赖项更改上。

    文件过滤器菜单

  2. 在清单或锁定文件标头的右侧,单击 多差异按钮以显示依赖项审查。

    多差异按钮

    注:依赖项审查提供关于大型锁定文件中已更改内容的更清晰视图,源差异在默认情况下不会呈现。

  3. 检查依赖项审查中列出的依赖项。

    依赖项审查中的漏洞警告

    任何已添加或更改的有漏洞依赖项先按严重程度排序,然后按依赖项名称排序。 这意味着严重程度最高的依赖项始终处于依赖项审查的顶部。 其他依赖项按其名称的字母顺序排列。

    每个依赖项旁边的图标指示该依赖项在此拉取请求中已添加 ()、更新 () 或删除 ()。

    其他信息包括:

    • 新、更新或删除的依赖项的版本或版本范围。
    • 对于依赖项的特定版本:
      • 依赖项的发布时间。
      • 依赖此软件的项目数量。 此信息取自依赖关系图。 检查依赖项的数量可以帮助您避免意外添加错误的依赖项。
      • 此依赖项使用的许可(如果此信息可用)。 如果要避免在项目中使用具有某些许可的代码,此选项非常有用。

    如果依赖项具有已知漏洞,则警告消息包括:

    • 漏洞的简要说明。
    • 通用漏洞披露 (CVE) 或 GitHub Security Advisories (GHSA) 标识号。 您可以单击此 ID 以查找有关漏洞的更多信息。
    • 漏洞的严重程度。
    • 修复漏洞的依赖项版本。 审查某人的拉取请求时,您可以要求参与者将依赖项更新到修补版本或更新版本。
  4. 您可能还想查看源差异,因为清单或锁定文件可能会发生变化,但不会更改依赖项,也可能存在 GitHub 无法解析的依赖项,因此,这些依赖项不会显示在依赖项审核中。

    要返回到源差异视图,请单击 按钮。

    源差异按钮

此文档对您有帮助吗?隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。