Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Konfigurieren der Abhängigkeitsüberprüfung

In diesem Artikel

Du kannst die Abhängigkeitsüberprüfung verwenden, um Sicherheitsrisiken abzufangen, bevor sie deinem Projekt hinzugefügt werden.

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:

  • Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Veröffentlichungsdaten.
  • Wie viele Projekte diese Komponenten verwenden.
  • Sicherheitsrisikodaten für diese Abhängigkeiten.

Weitere Informationen findest du unter Informationen zur Abhängigkeitsprüfung oder Überprüfen von Abhängigkeitsänderungen in einem Pull Request.

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung ist verfügbar, wenn das Abhängigkeitsdiagramm für deine GitHub Enterprise Server-Instanz aktiviert ist und Advanced Security für das Unternehmen oder Repository aktiviert ist. Weitere Informationen findest du unter Aktivieren von GitHub Advanced Security für dein Unternehmen.

Überprüfen des Status des Abhängigkeitsdiagramms

  1. Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen. Schaltfläche „Repositoryeinstellungen“

  2. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  3. Überprüfe unter „Sicherheits- und Analysefeatures konfigurieren“, ob das Abhängigkeitsdiagramm aktiviert ist.

  4. Wenn das Abhängigkeitsdiagramm aktiviert ist, kannst du neben GitHub Advanced Security auf Aktivieren klicken, um Advanced Security einschließlich des Abhängigkeitsdiagramms zu aktivieren. Die Schaltfläche „Aktivieren“ ist deaktiviert, wenn dein Unternehmen keine Lizenz für Advanced Security besitzt. Screenshot: Features für Codesicherheit und -analyse

Konfigurieren des Abhängigkeitsüberprüfungsaktion

Abhängigkeitsüberprüfungsaktion überprüft deine Pull Requests auf Abhängigkeitsänderungen und löst einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.

Weitere Informationen zur Aktion und zum API-Endpunkt findest du in der dependency-review-action-Dokumentation und unter Abhängigkeitsüberprüfung in der API-Dokumentation.

Die folgenden Konfigurationsoptionen stehen zur Verfügung.

OptionErforderlichVerbrauch
fail-on-severityOptionalDefiniert den Schwellenwert für den Schweregrad (low, moderate, high, critical).
Die Aktion schlägt bei allen Pull Requests fehl, die Sicherheitsrisiken des angegebenen oder eines höheren Schweregrads einführen.

Konfigurieren des Abhängigkeitsüberprüfungsaktion

Es gibt zwei Methoden zum Konfigurieren des Abhängigkeitsüberprüfungsaktion:

  • Inlinekonfiguration der Konfigurationsoptionen in deiner Workflowdatei
  • Verweis auf eine Konfigurationsdatei in deiner Workflowdatei

Beachte, dass in allen Beispielen anstelle der SemVer-Versionsnummer (z. B. v3.0.8) eine kurze Versionsnummer für die Aktion verwendet wird (v3). Dadurch wird sichergestellt, dass du die neueste Nebenversion der Aktion verwendest.

Einrichten des Abhängigkeitsüberprüfungsaktion mithilfe der Inlinekonfiguration

  1. Füge deinem Ordner .github/workflows einen neuen YAML-Workflow hinzu.

    Für runs-on lautet die Standardbezeichnung self-hosted. Du kannst die Standardbezeichnung durch die Bezeichnung für einen beliebigen deiner Runner ersetzen.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
   runs-on: self-hosted
     steps:
       - name: 'Checkout Repository'
         uses: actions/checkout@v3
       - name: Dependency Review
         uses: actions/dependency-review-action@v3

  2. Lege die Einstellungen fest.

    Diese Beispieldatei für den Abhängigkeitsüberprüfungsaktion veranschaulicht, wie du die verfügbaren Konfigurationsoptionen verwenden kannst.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
  runs-on: self-hosted
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v3
        with:
        # Possible values: "critical", "high", "moderate", "low" 
        fail-on-severity: critical

        # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
        # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories  
        allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679

Einrichten des Abhängigkeitsüberprüfungsaktion mithilfe einer Konfigurationsdatei

  1. Füge deinem Ordner .github/workflows einen neuen YAML-Workflow hinzu, und gib mithilfe von config-file an, dass du eine Konfigurationsdatei verwendest.

    Für runs-on lautet die Standardbezeichnung self-hosted. Du kannst die Standardbezeichnung durch die Bezeichnung für einen beliebigen deiner Runner ersetzen.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
 contents: read

jobs:
  dependency-review:
    runs-on: self-hosted
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v3
        with:
         # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
         # Possible values: An absolute path to a local file or an external file.
         config-file: './.github/dependency-review-config.yml'   
         # Syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH
         config-file: 'github/octorepo/dependency-review-config.yml@main'

         # ([Token]) Use if your configuration file resides in a private external repository.
         # Possible values: Any GitHub token with read access to the private external repository.  
         external-repo-token: 'ghp_123456789abcde'

  2. Erstelle die Konfigurationsdatei in dem von dir angegebenen Pfad.

    Diese YAML-Beispieldatei veranschaulicht, wie du die verfügbaren Konfigurationsoptionen verwenden kannst.

    YAML
      # Possible values: "critical", "high", "moderate", "low" 
  fail-on-severity: critical

   # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
   # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories  
  allow-ghsas: 
    - GHSA-abcd-1234-5679 
    - GHSA-efgh-1234-5679

    Weitere Details zu den Konfigurationsoptionen findest du unter dependency-review-action.