Skip to main content

Configuración de la revisión de dependencias para el dispositivo

Para ayudar a los usuarios a comprender los cambios de dependencias al revisar las solicitudes de incorporación de cambios, puedes habilitar, configurar y deshabilitar la revisión de dependencias para your GitHub Enterprise Server instance.

La revisión de dependencias está disponible para los repositorios que pertenecen a organizaciones en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para más información, consulte "Acerca de GitHub Advanced Security".

Acerca de la revisión de dependencias

La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña "Archivos cambiados" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
  • Cuántos proyectos utilizan estos componentes.
  • Datos de las vulnerabilidades para estas dependencias.

Algunas características adicionales, como las comprobaciones de licencia, el bloqueo de las solicitudes de incorporación de cambios y la integración de CI/CD, están disponibles con la acción de revisión de dependencias.

Verificar si tu licencia incluye a la GitHub Advanced Security

Puedes identificar si tu empresa tiene una licencia de GitHub Advanced Security revisando los ajustes de la misma. Para obtener más información, consulte "Habilitar la Seguridad Avanzada de GitHub para tu empresa".

Requisitos previos para la revisión de dependencias

Habilitación y deshabilitación de la revisión de dependencias

Para habilitar o deshabilitar la revisión de dependencias, debes habilitar o deshabilitar el gráfico de dependencias de la instancia.

Para obtener más información, consulte "Habilitación del gráfico de dependencias para la empresa".

Ejecución de la revisión de dependencias con GitHub Actions

Nota: Actualmente, dependency review action se encuentra en versión beta pública y está sujeta a cambios.

La acción de revisión de la dependencia se incluye en tu instalación de GitHub Enterprise Server. Está disponible para todos los repositorios que tienen habilitado GitHub Advanced Security y gráfico de dependencias.

La dependency review action examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.

Para obtener más información sobre la acción y el punto de conexión de API, consulta la documentación dependency-review-action y "Revisión de dependencias" en la documentación de la API.

Los usuarios ejecutan la acción de revisión de dependencias mediante un flujo de trabajo GitHub Actions Si aún no has configurado los ejecutores para GitHub Actions, debes hacerlo para permitir que los usuarios ejecuten flujos de trabajo. Puedes aprovisionar ejecutores auto-hospedados a nivel de repositorio, organización o empresa. Para obtener más información, consulta "Acerca de los ejecutores autohospedados" y "Agregar ejecutores autohospedados".