Erzwingen der Abhängigkeitsüberprüfung in einer Organisation

Anhand der Abhängigkeitsüberprüfung können Sie unsichere Abhängigkeiten ermitteln, bevor Sie diese in Ihre Umgebung einführen. Sie können die Nutzung der Abhängigkeitsüberprüfungsaktion in Ihrer Organisation erzwingen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

In diesem Artikel

Info zur Erzwingung der Abhängigkeitsüberprüfung

„Abhängigkeitsüberprüfungsaktion“ bezieht sich auf die spezifische Aktion, die Unterschiede in einem Pull Request innerhalb des GitHub Actions-Kontext melden kann. Siehe dependency-review-action. Du kannst die Abhängigkeitsüberprüfungsaktion in deinem Repository verwenden, um Abhängigkeitsüberprüfungen bei deinen Pull Requests zu erzwingen. Die Aktion sucht nach anfälligen Versionen von Abhängigkeiten, die durch Paketversionsänderungen in Pull Requests eingeführt wurden, und warnt dich vor den damit verbundenen Sicherheitsrisiken. So erhältst du einen besseren Überblick darüber, was sich in einem Pull Request ändert, und kannst verhindern, dass deinem Repository Sicherheitsrisiken hinzugefügt werden. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.

Sie können die Nutzung der Abhängigkeitsüberprüfungsaktion in Ihrer Organisation erzwingen, indem Sie einen Repository-Regelsatz einrichten, der das Bestehen des Workflows dependency-review-action erfordert, bevor Pull Requests zusammengeführt werden können. Bei Repository-Regelsätzen handelt es sich um Regeleinstellungen, mit denen Sie festlegen können, wie Benutzer*innen mit ausgewählten Branches und Tags in Ihren Repositorys interagieren können. Weitere Informationen findest du unter Informationen zu Regelsätzen und Workflows müssen vor der Zusammenführung Prüfungen bestehen.

Voraussetzungen

Sie müssen die Abhängigkeitsüberprüfungsaktion einem der Repositorys in Ihrer Organisation hinzufügen und die Aktion konfigurieren. Weitere Informationen findest du unter Konfigurieren der Aktion der Abhängigkeitsüberprüfung.

Erzwingen der Abhängigkeitsüberprüfung für die eigene Organisation

  1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Wähle auf der linken Randleiste im Abschnitt „Code, Planung und Automatisierung“ die Option Repository aus, und klicke dann auf Regelsätze.

    Screenshot: Seite „Einstellungen“ einer Organisation Auf der Randleiste ist ein Link mit der Bezeichnung „Regelsätze“ orange umrandet.

  4. Klicken Sie auf Neuer Branch-Regelsatz.

  5. Legen Sie Erzwingungsstatus auf Aktiv fest.

  6. Optional können Sie bestimmte Repositorys in Ihrer Organisation als Ziel festlegen. Weitere Informationen findest du unter Auswählen der Repositorys, die in deiner Organisation als Ziel verwendet werden sollen.

  7. Wählen Sie im Abschnitt „Regeln“ die Option „Workflows müssen vor der Zusammenführung Prüfungen bestehen“ aus.

  8. Klicken Sie in „Workflowkonfigurationen“ auf Workflow hinzufügen.

  9. Wählen Sie im Dialogfeld das Repository aus, dem Sie die Abhängigkeitsüberprüfungsaktion hinzugefügt haben. Weitere Informationen finden Sie unter Voraussetzungen.

  10. Wählen Sie im erweiterten Dialogfeld einen Branch und die Workflowdatei für die Abhängigkeitsüberprüfung aus.

    Screenshot des Dialogfelds „Erforderlichen Workflow hinzufügen“. Sie müssen ein Repository, einen Branch und einen Workflow angeben.

  11. Klicken Sie auf Erstellen.