Skip to main content

Configuración de la revisión de dependencias para el dispositivo

Para ayudar a los usuarios a comprender los cambios de dependencia al revisar las solicitudes de incorporación de cambios, puede habilitar, configurar y deshabilitar la revisión de dependencias para GitHub Enterprise Server.

¿Quién puede utilizar esta característica?

Repositorios propiedad de la organización con GitHub Advanced Security habilitado

Acerca de la revisión de dependencias

La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña "Archivos cambiados" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
  • Cuántos proyectos utilizan estos componentes.
  • Datos de las vulnerabilidades para estas dependencias.

Algunas características adicionales, como las comprobaciones de licencia, el bloqueo de las solicitudes de incorporación de cambios y la integración de CI/CD, están disponibles con la acción de revisión de dependencias.

Verificar si tu licencia incluye a la GitHub Advanced Security

Puedes identificar si tu empresa tiene una licencia de GitHub Advanced Security revisando los ajustes de la misma. Para obtener más información, vea «Habilitación de GitHub Advanced Security para su empresa».

Requisitos previos para la revisión de dependencias

Habilitación y deshabilitación de la revisión de dependencias

Para habilitar o deshabilitar la revisión de dependencias, debes habilitar o deshabilitar el gráfico de dependencias de la instancia.

Para más información, consulta Habilitación del gráfico de dependencias para la empresa.

Ejecución de la revisión de dependencias con GitHub Actions

Note

La Acción de revisión de dependencias se encuentra actualmente en beta y está sujeta a cambios.

La acción de revisión de la dependencia se incluye en tu instalación de GitHub Enterprise Server. Está disponible para todos los repositorios que tienen habilitado GitHub Advanced Security y gráfico de dependencias.

La Acción de revisión de dependencias examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.

Para obtener más información sobre la acción y el punto de conexión de API, consulta la documentación dependency-review-action y «Puntos de conexión de la API de REST para la revisión de dependencias».

Los usuarios ejecutan la acción de revisión de dependencias mediante un flujo de trabajo GitHub Actions Si aún no has configurado los ejecutores para GitHub Actions, debes hacerlo para permitir que los usuarios ejecuten flujos de trabajo. Puedes aprovisionar ejecutores auto-hospedados a nivel de repositorio, organización o empresa. Para información, consulta Acerca de los ejecutores autohospedados y Agrega ejecutores auto-hospedados.