Skip to main content

Enterprise Server 3.15 actualmente está disponible como versión candidata para lanzamiento.

Configuración de la revisión de dependencias para el dispositivo

Para ayudar a los usuarios a comprender los cambios de dependencia al revisar las solicitudes de incorporación de cambios, puede habilitar, configurar y deshabilitar la revisión de dependencias para GitHub Enterprise Server.

¿Quién puede utilizar esta característica?

La revisión de dependencias está disponible para los repositorios que pertenecen a organizaciones en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Acerca de la revisión de dependencias

La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña "Archivos cambiados" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
  • Cuántos proyectos utilizan estos componentes.
  • Datos de las vulnerabilidades para estas dependencias.

Algunas características adicionales, como las comprobaciones de licencia, el bloqueo de las solicitudes de incorporación de cambios y la integración de CI/CD, están disponibles con la acción de revisión de dependencias.

Verificar si tu licencia incluye a la GitHub Advanced Security

Puedes identificar si tu empresa tiene una licencia de GitHub Advanced Security revisando los ajustes de la misma. Para obtener más información, vea «Habilitación de GitHub Advanced Security para su empresa».

Requisitos previos para la revisión de dependencias

Habilitación y deshabilitación de la revisión de dependencias

Para habilitar o deshabilitar la revisión de dependencias, debes habilitar o deshabilitar el gráfico de dependencias de la instancia.

Para obtener más información, vea «Habilitación del gráfico de dependencias para la empresa».

Ejecución de la revisión de dependencias con GitHub Actions

Nota: La Acción de revisión de dependencias se encuentra actualmente en beta y está sujeta a cambios.

La acción de revisión de la dependencia se incluye en tu instalación de GitHub Enterprise Server. Está disponible para todos los repositorios que tienen habilitado GitHub Advanced Security y gráfico de dependencias.

La Acción de revisión de dependencias examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.

Para obtener más información sobre la acción y el punto de conexión de API, consulta la documentación dependency-review-action y «Puntos de conexión de la API de REST para la revisión de dependencias».

Los usuarios ejecutan la acción de revisión de dependencias mediante un flujo de trabajo GitHub Actions Si aún no has configurado los ejecutores para GitHub Actions, debes hacerlo para permitir que los usuarios ejecuten flujos de trabajo. Puedes aprovisionar ejecutores auto-hospedados a nivel de repositorio, organización o empresa. Para información, consulta "Acerca de los ejecutores autohospedados" y "Agrega ejecutores auto-hospedados".