Konfigurieren der Abhängigkeitsüberprüfung

Du kannst die Abhängigkeitsüberprüfung verwenden, um Sicherheitsrisiken abzufangen, bevor sie deinem Projekt hinzugefügt werden.

In diesem Artikel

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:

  • Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Veröffentlichungsdaten.
  • Wie viele Projekte diese Komponenten verwenden.
  • Sicherheitsrisikodaten für diese Abhängigkeiten.

Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung und unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung ist verfügbar, wenn das Abhängigkeitsdiagramm für Ihre GitHub Enterprise Server-Instance und Advanced Security für die Organisation oder das Repository aktiviert sind. Weitere Informationen findest du unter Aktivieren von GitHub Advanced Security für dein Unternehmen.

Überprüfen des Status des Abhängigkeitsdiagramms

  1. Navigiere auf Ihre GitHub Enterprise Server-Instance zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Überprüfe unter „Sicherheits- und Analysefeatures konfigurieren“, ob das Abhängigkeitsdiagramm aktiviert ist.

  5. Wenn das Abhängigkeitsdiagramm aktiviert ist, kannst du neben GitHub Advanced Security auf Aktivieren klicken, um Advanced Security einschließlich des Abhängigkeitsdiagramms zu aktivieren. Die Schaltfläche Aktivieren ist deaktiviert, wenn dein Unternehmen über keine Lizenzen für Advanced Securityverfügt.

    Screenshot: "Codesicherheits- und Analysefeatures"

Konfigurieren des Abhängigkeitsüberprüfungsaktion

Die Abhängigkeitsüberprüfungsaktion prüft deine Pull Requests auf Änderungen bei Abhängigkeiten und gibt einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.

Weitere Informationen zur Aktion und zum API-Endpunkt finden Sie in der Dokumentation dependency-review-action und unter „REST-API-Endpunkte für die Abhängigkeitsüberprüfung“.

Organisationsbesitzer*innen können die Abhängigkeitsüberprüfung im großen Stil einführen, indem sie die Nutzung der Abhängigkeitsüberprüfungsaktion für Repositorys in der Organisation erzwingen. Dies umfasst die Nutzung von Repository-Regelsätzen, für die Sie die Abhängigkeitsüberprüfungsaktion als erforderlichen Workflow festlegen. Das bedeutet, dass Pull Requests nur zusammengeführt werden können, nachdem der Workflow alle erforderlichen Prüfungen bestanden hat. Weitere Informationen findest du unter Erzwingen der Abhängigkeitsüberprüfung in einer Organisation.

Hier finden Sie eine Liste der gängigen Konfigurationsoptionen. Weitere Informationen und eine vollständige Liste der Optionen finden Sie unter Überprüfung der Abhängigkeit von GitHub Marketplace.

OptionErforderlichVerbrauch
fail-on-severityDefiniert den Schwellenwert für den Schweregrad (low, moderate, high, critical).
Die Aktion schlägt bei allen Pull Requests fehl, die Sicherheitsrisiken des angegebenen oder eines höheren Schweregrads einführen.
fail-on-scopesEnthält eine Liste von Zeichenfolgen, die die Buildumgebungen darstellen, die Sie unterstützen möchten (development, runtime, unknown).
Die Aktion schlägt bei Pullanforderungen fehl, die Sicherheitsrisiken in den Bereichen einführen, die der Liste entsprechen.
comment-summary-in-prAktivieren oder deaktivieren Sie die Berichterstellung der Rezensionszusammenfassung als Kommentar in der Pull Request. Wenn diese Option aktiviert ist, müssen Sie dem Workflow oder Auftrag die pull-requests: write-Berechtigung erteilen.
allow-ghsasEnthält eine Liste von GitHub Advisory Database-IDs, die während der Erkennung übersprungen werden können. Die möglichen Werte für diesen Parameter findest du in der GitHub Advisory Database.
config-fileGibt einen Pfad zu einer Konfigurationsdatei an. Die Konfigurationsdatei kann lokal im Repository oder in einem externen Repository gespeichert sein.
external-repo-tokenGibt ein Token zum Abrufen der Konfigurationsdatei an, wenn sich die Datei in einem privaten externen Repository befindet. Das Token benötigt Lesezugriff auf das Repository.