Überprüfen von Abhängigkeitsänderungen in einem Pull Request

Wenn ein Pull Request Änderungen an Abhängigkeiten enthält, kannst du eine Zusammenfassung dessen anzeigen, was geändert wurde,und ob bekannte Sicherheitsrisiken in einer der Abhängigkeiten vorhanden sind.

Wer kann dieses Feature verwenden?

Abhängigkeitsreviews sind in GitHub Enterprise Cloud für öffentliche Repositorys enthalten. Um Abhängigkeitsreviews in privaten Repositorys zu verwenden, die sich im Besitz von Organisationen befinden, musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

In diesem Artikel

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:

  • Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Veröffentlichungsdaten.
  • Wie viele Projekte diese Komponenten verwenden.
  • Sicherheitsrisikodaten für diese Abhängigkeiten.

Bevor du die Abhängigkeitsüberprüfung in einem privaten Repository verwenden kannst, musst du das Abhängigkeitsdiagramm aktivieren. Weitere Informationen findest du unter Untersuchen der Abhängigkeiten eines Repositorys.

Die Abhängigkeitsüberprüfung ermöglicht dir, nach „links zu wechseln“. Du kannst die bereitgestellten prädiktiven Informationen verwenden, um Abhängigkeiten mit Sicherheitsrisiken zu erfassen, bevor sie in die Produktion eingehen. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.

Du kannst die Abhängigkeitsüberprüfungsaktion verwenden, um Abhängigkeitsüberprüfungen bei Pull Requests in deinem Repository zu erzwingen. Die Abhängigkeitsüberprüfungsaktion prüft deine Pull Requests auf Änderungen bei Abhängigkeiten und gibt einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.

Weitere Informationen zur Aktion und zum API-Endpunkt finden Sie in der Dokumentation dependency-review-action und unter „REST-API-Endpunkte für die Abhängigkeitsüberprüfung“.

Du kannst die Abhängigkeitsüberprüfungsaktion so konfigurieren, dass sie deinen Anforderungen besser entspricht, indem du den Typ des Sicherheitsrisikos angibst, das du abfangen möchtest. Weitere Informationen findest du unter Konfigurieren der Abhängigkeitsüberprüfung.

Überprüfen von Abhängigkeiten in einem Pull Request

  1. Klicke unter dem Namen deines Repositorys auf -Pull Requests.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte mit der Bezeichnung „Pull Requests“ dunkelorange umrandet.

  2. Klicke in der Liste der Pull Requests auf den Pull Request, den Du überprüfen möchtest.

  3. Klicke für den Pull Request auf Dateien geändert.

    Screenshot der Registerkarten für einen Pull Request. Die Registerkarte „Dateien geändert“ ist dunkelorange umrandet.

  4. Wenn der Pull Request viele Dateien enthält, verwende das Dropdownmenü Dateifilter, um alle Dateien auszublenden, die keine Abhängigkeiten aufzeichnen. Dadurch wird es einfacher, die Überprüfung auf die Änderungen in den Abhängigkeiten zu konzentrieren.

    Screenshot: Registerkarte „Geänderte Dateien“. Eine Dropdownliste mit der Bezeichnung „Dateifilter“ wird erweitert und zeigt eine Liste von Dateitypen mit Kontrollkästchen an. Die Abhängigkeitsüberprüfung bietet eine klarere Übersicht darüber, was sich in großen Sperrdateien geändert hat, in denen das Quell-Diff standardmäßig nicht gerendert wird.

    Hinweis: Abhängigkeitsüberprüfungs-Rich-Diffs sind für committete statische JavaScript-Dateien wie jquery.js nicht verfügbar.

  5. Zeige rechts neben dem Header für eine Manifest- oder Sperrdatei die Abhängigkeitsüberprüfung an, indem du auf klickst.

    Screenshot: Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Schaltfläche zum Anzeigen des Rich-Diff (gekennzeichnet durch ein Dateisymbol) ist dunkelorange umrandet.

  6. Überprüfe die in der Abhängigkeitsüberprüfung aufgeführten Abhängigkeiten.

    Screenshot: Warnungen zu Sicherheitsrisiken in einer Abhängigkeitsüberprüfung für einen Pull Request.

    Alle hinzugefügten oder geänderten Abhängigkeiten, die Sicherheitsrisiken aufweisen, werden zuerst aufgelistet, sortiert nach Schweregrad und dann nach Abhängigkeitsnamen. Dies bedeutet, dass die Abhängigkeiten mit dem höchsten Schweregrad in einer Abhängigkeitsüberprüfung immer oben liegen. Andere Abhängigkeiten werden alphabetisch nach Abhängigkeitsnamen aufgeführt.

    Das Symbol neben jeder Abhängigkeit zeigt an, ob die Abhängigkeit in diesem Pull Request hinzugefügt (), aktualisiert () oder entfernt () wurde.

    Diese Informationen umfassen Folgendes:

    • Die Version, oder der Versionsbereich der neuen, aktualisierten oder gelöschten Abhängigkeit.
    • Für eine bestimmte Version einer Abhängigkeit:
      • Das Alter dieser Veröffentlichung der Abhängigkeit.
      • Die Anzahl der Projekte, die von dieser Software abhängig sind. Diese Informationen werden aus dem Abhängigkeitsdiagramm abgeleitet. Wenn du die Anzahl der Abhängigen überprüfst, kannst du vermeiden, versehentlich die falsche Abhängigkeit hinzuzufügen.
      • Die von dieser Abhängigkeit verwendete Lizenz, wenn diese Informationen verfügbar sind. Dies ist nützlich, wenn du verhindern möchtest, dass Code mit bestimmten Lizenzen in deinem Projekt verwendet wird.

    Wenn eine Abhängigkeit ein bekanntes Sicherheitsrisiko aufweist, enthält die Warnmeldung Folgendes:

    • Eine kurze Beschreibung des Sicherheitsrisikos.
    • Eine CVE- oder GitHub Security Advisories-Identifikationsnummer (Common Vulnerabilities and Exposures oder GHSA). Du kannst auf diese ID klicken, um mehr über das Sicherheitsrisiko zu erfahren.
    • Der Schweregrad des Sicherheitsrisikos.
    • Die Version der Abhängigkeit, in der das Sicherheitsrisiko behoben wurde. Wenn du einen Pull Request für jemanden überprüfst, bitte den Mitwirkenden, die Abhängigkeit auf die gepatchte Version oder eine spätere Version zu aktualisieren.

  7. Du solltest auch das Quell-Diff überprüfen, da es möglicherweise Änderungen an der Manifest- oder Sperrdatei gibt, die keine Abhängigkeiten ändern. Zudem besteht die Möglichkeit, dass Abhängigkeiten verfügbar sind, die GitHub nicht analysieren kann und die daher nicht in der Abhängigkeitsüberprüfung angezeigt werden.

    Klicke auf die Schaltfläche , um zur Ansicht für das Quelldiff zurückzukehren.

    Screenshot der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Schaltfläche zum Anzeigen des Quelldiffs, die mit einem Codesymbol versehen ist, ist dunkelorange umrandet.