Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.
Enterprise Cloud
Español
Registrarse
 
Code security
Enterprise Cloud
Español
Registrarse

 

Configuring dependency review

En este artículo

You can use dependency review to catch vulnerabilities before they are added to your project.

Acerca de la revisión de dependencias

La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Te proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial rico en la pestaña de "Archivos que cambiaron" de una solicitud de cambios. La revisión de dependencias te informa sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
  • Cuántos proyectos utilizan estos componentes.
  • Datos de las vulnerabilidades para estas dependencias.

Para obtener más información, consulta las secciones "Acerca de la revisión de dependencias" y "revisar los cambios a las dependencias en una solicitud de cambios".

About configuring dependency review

La revisión de dependencias se incluye en GitHub Enterprise Cloud para los repositorios públicos. To use dependency review in private repositories owned by organizations, you must have a license for GitHub Advanced Security and have the dependency graph enabled.

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios privados.

También puedes habilitar o inhabilitar la gráfica de dependencias para todos los repositorios que pertenecen a tu cuenta de usuario u organización. For more information, see "Configuring the dependency graph."

  1. En GitHub.com, visita la página principal del repositorio.

  2. Debajo de tu nombre de repositorio, da clic en Configuración. Botón de configuración del repositorio

  3. En la sección de "Seguridad" de la barra lateral, haz clic en Análisis y seguridad de código.

  4. Lee los mensajes sobre el otorgar acceso de solo lectura a GitHub Enterprise Cloud para los datos del repositorio para así habilitar la gráfica de dependencias, posteriormente, da clic en Habilitar junto a "Gráfica de Dependencias". "Enable" button for the dependency graph Puedes inhabilitar la gráfica de dependencias en cualquier momento si haces clic en Inhabilitar junto a "Gráfica de dependencias" en la página de ajustes de "Análisis y seguridad de código."

  5. If "GitHub Advanced Security" is not enabled, click Enable next to the feature. Screenshot of GitHub Advanced Security feature with "Enable" button emphasized

Configuring the GitHub Action de Revisión de Dependencias

Note: The GitHub Action de Revisión de Dependencias is currently in public beta and subject to change.

The GitHub Action de Revisión de Dependencias scans your pull requests for dependency changes and raises an error if any new dependencies have known vulnerabilities. The action is supported by an API endpoint that compares the dependencies between two revisions and reports any differences.

For more information about the action and the API endpoint, see "About dependency review," and "Dependency review" in the API documentation, respectively.

The following configuration options are available.

OpciónRequeridoUso
fail-on-severityOpcionalDefines the threshold for level of severity (low, moderate, high, critical).
The action will fail on any pull requests that introduce vulnerabilities of the specified severity level or higher.
allow-licensesOpcionalContains a list of allowed licenses. You can find the possible values for this parameter in the Licenses page of the API documentation.
The action will fail on pull requests that introduce dependencies with licenses that do not match the list.
deny-licensesOpcionalContains a list of prohibited licenses. You can find the possible values for this parameter in the Licenses page of the API documentation.
The action will fail on pull requests that introduce dependencies with licenses that match the list.

Tip: The allow-licenses and deny-licenses options are mutually exclusive.

This GitHub Action de Revisión de Dependencias example file illustrates how you can use these configuration options.

YAML
name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v2
        with:
          # Possible values: "critical", "high", "moderate", "low" 
          fail-on-severity: critical
          # You can only can only include one of these two options: `allow-licenses` and `deny-licences`
          # ([String]). Only allow these licenses (optional)
          # Possible values: Any `spdx_id` value(s) from https://docs.github.com/en/rest/licenses 
          # allow-licenses: GPL-3.0, BSD-3-Clause, MIT

          # ([String]). Block the pull request on these licenses (optional)
          # Possible values: Any  `spdx_id` value(s) from https://docs.github.com/en/rest/licenses 
          # deny-licenses: LGPL-2.0, BSD-2-Clause

For further details about the configuration options, see dependency-review-action.