Skip to main content

Configuración de la revisión de dependencias

Puedes usar la revisión de dependencias para detectar vulnerabilidades antes de que se agreguen al proyecto.

Acerca de la revisión de dependencias

La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Te proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial rico en la pestaña de "Archivos que cambiaron" de una solicitud de cambios. La revisión de dependencias te informa sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
  • Cuántos proyectos utilizan estos componentes.
  • Datos de las vulnerabilidades para estas dependencias.

Para obtener más información, consulta «Acerca de la revisión de dependencias» y «Revisión de los cambios de dependencia en una solicitud de incorporación de cambios».

Acerca de la configuración de la revisión de dependencias

La revisión de dependencias está disponible en todos los repositorios públicos de todos los productos y no puede deshabilitarse. La revisión de dependencias está disponible en repositorios privados propiedad de las organizaciones que usan GitHub Enterprise Cloud y que tienen una licencia para GitHub Advanced Security. Para más información, vea la documentación de GitHub Enterprise Cloud.

Configuración de la dependency review action

Nota: Actualmente, dependency review action se encuentra en versión beta pública y está sujeta a cambios.

La dependency review action examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.

Para obtener más información sobre la acción y el punto de conexión de API, consulta la documentación dependency-review-action y "Revisión de dependencias" en la documentación de la API.

Están disponibles las siguientes opciones de configuración.

OpciónObligatorioUso
fail-on-severityOpcionalesDefine el umbral del nivel de gravedad (low, moderate, high y critical).
La acción generará un error en las solicitudes de incorporación de cambios que introduzcan vulnerabilidades del nivel de gravedad especificado o superior.

Sugerencia: Las opciones allow-licenses y deny-licenses se excluyen mutuamente.

En este archivo de ejemplo de dependency review action se muestra cómo se pueden usar estas opciones de configuración. Observa que en el ejemplo se usa el número de versión corta para la acción (v2) en lugar de un número de versión de gravedad (por ejemplo, v2.0.8). Esto garantiza que uses la versión secundaria más reciente de la acción.

YAML
name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v2
        with:
          # Possible values: "critical", "high", "moderate", "low" 
          fail-on-severity: critical

          # You can only can only include one of these two options: `allow-licenses` and `deny-licences`
          # ([String]). Only allow these licenses (optional)
          # Possible values: Any `spdx_id` value(s) from https://docs.github.com/en/rest/licenses 
          # allow-licenses: GPL-3.0, BSD-3-Clause, MIT

          # ([String]). Block the pull request on these licenses (optional)
          # Possible values: Any  `spdx_id` value(s) from https://docs.github.com/en/rest/licenses 
          # deny-licenses: LGPL-2.0, BSD-2-Clause

Para obtener más información sobre las opciones de configuración, consulta dependency-review-action.