Acerca de la revisión de dependencias
La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Te proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial rico en la pestaña de "Archivos que cambiaron" de una solicitud de cambios. La revisión de dependencias te informa sobre:
- Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
- Cuántos proyectos utilizan estos componentes.
- Datos de las vulnerabilidades para estas dependencias.
Para obtener más información, consulta las secciones "Acerca de la revisión de dependencias" y "revisar los cambios a las dependencias en una solicitud de cambios".
About configuring dependency review
La revisión de dependencias se incluye en GitHub Enterprise Cloud para los repositorios públicos. To use dependency review in private repositories owned by organizations, you must have a license for GitHub Advanced Security and have the dependency graph enabled.
Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios privados.
También puedes habilitar o inhabilitar la gráfica de dependencias para todos los repositorios que pertenecen a tu cuenta de usuario u organización. For more information, see "Configuring the dependency graph."
-
En GitHub.com, visita la página principal del repositorio.
-
Debajo de tu nombre de repositorio, da clic en Configuración.
-
En la sección de "Seguridad" de la barra lateral, haz clic en Análisis y seguridad de código.
-
Lee los mensajes sobre el otorgar acceso de solo lectura a GitHub Enterprise Cloud para los datos del repositorio para así habilitar la gráfica de dependencias, posteriormente, da clic en Habilitar junto a "Gráfica de Dependencias".
Puedes inhabilitar la gráfica de dependencias en cualquier momento si haces clic en Inhabilitar junto a "Gráfica de dependencias" en la página de ajustes de "Análisis y seguridad de código."
-
If "GitHub Advanced Security" is not enabled, click Enable next to the feature.
Configuring the GitHub Action de Revisión de Dependencias
Note: The GitHub Action de Revisión de Dependencias is currently in public beta and subject to change.
For more information about the action and the API endpoint, see "About dependency review," and "Dependency review" in the API documentation, respectively.
The following configuration options are available.
Opción | Requerido | Uso |
---|---|---|
fail-on-severity | Opcional | Defines the threshold for level of severity (low , moderate , high , critical ).The action will fail on any pull requests that introduce vulnerabilities of the specified severity level or higher. |
allow-licenses | Opcional | Contains a list of allowed licenses. You can find the possible values for this parameter in the Licenses page of the API documentation. The action will fail on pull requests that introduce dependencies with licenses that do not match the list. |
deny-licenses | Opcional | Contains a list of prohibited licenses. You can find the possible values for this parameter in the Licenses page of the API documentation. The action will fail on pull requests that introduce dependencies with licenses that match the list. |
Tip: The allow-licenses
and deny-licenses
options are mutually exclusive.
This GitHub Action de Revisión de Dependencias example file illustrates how you can use these configuration options.
name: 'Dependency Review'
on: [pull_request]
permissions:
contents: read
jobs:
dependency-review:
runs-on: ubuntu-latest
steps:
- name: 'Checkout Repository'
uses: actions/checkout@v3
- name: Dependency Review
uses: actions/dependency-review-action@v2
with:
# Possible values: "critical", "high", "moderate", "low"
fail-on-severity: critical
# You can only can only include one of these two options: `allow-licenses` and `deny-licences`
# ([String]). Only allow these licenses (optional)
# Possible values: Any `spdx_id` value(s) from https://docs.github.com/en/rest/licenses
# allow-licenses: GPL-3.0, BSD-3-Clause, MIT
# ([String]). Block the pull request on these licenses (optional)
# Possible values: Any `spdx_id` value(s) from https://docs.github.com/en/rest/licenses
# deny-licenses: LGPL-2.0, BSD-2-Clause
For further details about the configuration options, see dependency-review-action
.