Skip to main content

Konfigurieren der Abhängigkeitsüberprüfung für deine Appliance

Damit Benutzer Abhängigkeitsänderungen beim Überprüfen von Pull Requests besser verstehen, kannst du die Abhängigkeitsüberprüfung für Ihre GitHub Enterprise Server-Instance aktivieren, konfigurieren und deaktivieren.

Wer kann dieses Feature verwenden?

Abhängigkeitsreviews sind für Repositorys im Besitz von Organisationen in GitHub Enterprise Server verfügbar. Dieses Feature erfordert eine Lizenz für GitHub Advanced Security. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:

  • Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Veröffentlichungsdaten.
  • Wie viele Projekte diese Komponenten verwenden.
  • Sicherheitsrisikodaten für diese Abhängigkeiten.

Einige zusätzliche Features, wie z. B. Lizenzüberprüfungen, das Blockieren von Pull Requests und die CI/CD-Integration, stehen mit der Aktion zum Überprüfen von Abhängigkeiten zur Verfügung.

Überprüfen, ob deine Lizenz GitHub Advanced Security umfasst

Du kannst ermitteln, ob dein Unternehmen über eine GitHub Advanced Security-Lizenz verfügt, indem du deine Unternehmenseinstellungen überprüfst. Weitere Informationen findest du unter Aktivieren von GitHub Advanced Security für dein Unternehmen.

Voraussetzungen für die Abhängigkeitsüberprüfung

Aktivieren und Deaktivieren der Abhängigkeitsüberprüfung

Um die Abhängigkeitsüberprüfung zu aktivieren oder zu deaktivieren, musst du das Abhängigkeitsdiagramm für deine Instanz aktivieren oder deaktivieren.

Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen.

Durchführen der Abhängigkeitsüberprüfung mit GitHub Actions

Hinweis: Abhängigkeitsüberprüfungsaktion liegt derzeit als öffentliche Betaversion vor und wird möglicherweise geändert.

Die Aktion zum Überprüfen von Abhängigkeiten ist in deiner Installation von GitHub Enterprise Server enthalten. Sie ist für alle Repositorys verfügbar, bei denen GitHub Advanced Security und das Abhängigkeitsdiagramm aktiviert sind.

Abhängigkeitsüberprüfungsaktion überprüft deine Pull Requests auf Abhängigkeitsänderungen und löst einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.

Weitere Informationen zur Aktion und zum API-Endpunkt findest du in der dependency-review-action-Dokumentation und unter Abhängigkeitsüberprüfung in der API-Dokumentation.

Benutzer führen die Aktion zur Abhängigkeitsüberprüfung mit einem GitHub Actions-Workflow aus. Falls du noch keine Runner für GitHub Actions eingerichtet hast, musst du dies nachholen, damit die Benutzer Workflows ausführen können. Du kannst selbstgehostete Runner auf Repository-, Organisations- oder Unternehmenskontoebene bereitstellen. Weitere Informationen findest du unter Informationen zu selbstgehosteten Runnern und unter Selbst-gehostete Runner hinzufügen.