Diese Version von GitHub Enterprise Server wurde eingestellt am 2024-09-25. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Konfigurieren der Abhängigkeitsüberprüfungsaktion

Du kannst den Abhängigkeitsüberprüfungsaktion zum Erkennen von Sicherheitsrisiken verwenden, bevor diese zu deinem Projekt hinzugefügt werden.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Informationen zum Abhängigkeitsüberprüfungsaktion

Der „Abhängigkeitsüberprüfungsaktion“ bezieht sich auf die spezifische Aktion, mit der Unterschiede in einem Pull Request im GitHub Actions-Kontext berichtet werden kann, und fügt dem GitHub Actions-Workflow Erzwingungsmechanismen hinzu.

Die Abhängigkeitsüberprüfungsaktion prüft deine Pull Requests auf Änderungen bei Abhängigkeiten und gibt einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.

Weitere Informationen zur Aktion und zum API-Endpunkt finden Sie in der Dokumentation dependency-review-action und unter „REST-API-Endpunkte für die Abhängigkeitsüberprüfung“.

Hier finden Sie eine Liste der gängigen Konfigurationsoptionen. Weitere Informationen und eine vollständige Liste der Optionen finden Sie unter Überprüfung der Abhängigkeit von GitHub Marketplace.

OptionErforderlichVerbrauch
fail-on-severityDefiniert den Schwellenwert für den Schweregrad (low, moderate, high, critical).
Die Aktion schlägt bei allen Pull Requests fehl, die Sicherheitsrisiken des angegebenen oder eines höheren Schweregrads einführen.
fail-on-scopesEnthält eine Liste von Zeichenfolgen, die die Buildumgebungen darstellen, die Sie unterstützen möchten (development, runtime, unknown).
Die Aktion schlägt bei Pullanforderungen fehl, die Sicherheitsrisiken in den Bereichen einführen, die der Liste entsprechen.
comment-summary-in-prAktivieren oder deaktivieren Sie die Berichterstellung der Rezensionszusammenfassung als Kommentar in der Pull Request. Wenn diese Option aktiviert ist, müssen Sie dem Workflow oder Auftrag die pull-requests: write-Berechtigung erteilen.
allow-ghsasEnthält eine Liste von GitHub Advisory Database-IDs, die während der Erkennung übersprungen werden können. Die möglichen Werte für diesen Parameter findest du in der GitHub Advisory Database.
config-fileGibt einen Pfad zu einer Konfigurationsdatei an. Die Konfigurationsdatei kann lokal im Repository oder in einem externen Repository gespeichert sein.
external-repo-tokenGibt ein Token zum Abrufen der Konfigurationsdatei an, wenn sich die Datei in einem privaten externen Repository befindet. Das Token benötigt Lesezugriff auf das Repository.

Weiterführende Themen