Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.
All products
Seguridad de código

Configuración de la revisión de dependencias

En este artículo

Puedes usar la revisión de dependencias para detectar vulnerabilidades antes de que se agreguen al proyecto.

Acerca de la revisión de dependencias

La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña "Archivos cambiados" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
  • Cuántos proyectos utilizan estos componentes.
  • Datos de las vulnerabilidades para estas dependencias.

Para obtener más información, vea «Acerca de la revisión de dependencias» y «Revisar los cambios de las dependencias en una solicitud de cambios».

Acerca de la configuración de la revisión de dependencias

La revisión de dependencias está disponible cuando se habilita el gráfico de dependencias para tu instancia de GitHub Enterprise Server y se habilita Advanced Security para la organización o el repositorio. Para más información, consulta "Habilitación de GitHub Advanced Security para su empresa".

Comprobación de si el gráfico de dependencias está habilitado

  1. En tu instancia de GitHub Enterprise Server, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  2. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  3. En «Configurar características de seguridad y análisis», comprueba si el gráfico de dependencias está habilitado.

  4. Si el gráfico de dependencias está habilitado, haz clic en Habilitar junto a «GitHub Advanced Security» para habilitar Advanced Security, incluida la revisión de dependencias. El botón Habilitar está deshabilitado si tu empresa no tiene licencias disponibles paraAdvanced Security. Captura de pantalla de la configuración de características de seguridad y análisis.

Acerca de la configuración de la Acción de revisión de dependencias

Acción de revisión de dependencias examina las solicitudes de incorporación de cambios en busca de cambios de dependencia y genera un error si alguna dependencia nueva tiene vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones y notifica las diferencias.

Para más información sobre la acción y el punto de conexión de API, consulta la documentación de dependency-review-action y "Dependency review" en la documentación de la API.

Están disponibles las siguientes opciones de configuración.

OpciónObligatorioUso
fail-on-severityDefine el umbral del nivel de gravedad (low, moderate, high y critical).
La acción generará un error en las solicitudes de incorporación de cambios que introduzcan vulnerabilidades del nivel de gravedad especificado o superior.

Configuración de la Acción de revisión de dependencias

Hay dos métodos para configurar la Acción de revisión de dependencias:

  • Insertar las opciones de configuración en el archivo de flujo de trabajo.
  • Hacer referencia a un archivo de configuración en el archivo de flujo de trabajo.

Observa que en todos los ejemplos se usa un número de versión corto para la acción (v3) en lugar de un número de versión SemVer (por ejemplo, v3.0.8). Esto garantiza que uses la versión secundaria más reciente de la acción.

Uso de la configuración insertada para configurar la Acción de revisión de dependencias

  1. Agrega un nuevo flujo de trabajo YAML a la carpeta .github/workflows.

    Para runs-on, la etiqueta predeterminada es self-hosted. Puedes reemplazar la etiqueta predeterminada por la etiqueta de cualquiera de los ejecutores.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
   runs-on: self-hosted
     steps:
       - name: 'Checkout Repository'
         uses: actions/checkout@v3
       - name: Dependency Review
         uses: actions/dependency-review-action@v3

  2. Especifique su configuración.

    En este archivo de ejemplo de la Acción de revisión de dependencias se muestra cómo se pueden usar las opciones de configuración disponibles.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
  runs-on: self-hosted
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v3
        with:
        # Possible values: "critical", "high", "moderate", "low"
        fail-on-severity: critical

        # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
        # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
        allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679

Uso de un archivo de configuración para configurar la Acción de revisión de dependencias

  1. Agrega un nuevo flujo de trabajo YAML a la carpeta .github/workflows y usa config-file para especificar que usas un archivo de configuración.

    Para runs-on, la etiqueta predeterminada es self-hosted. Puedes reemplazar la etiqueta predeterminada por la etiqueta de cualquiera de los ejecutores.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
 contents: read

jobs:
  dependency-review:
    runs-on: self-hosted
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v3
        with:
         # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
         # Possible values: An absolute path to a local file or an external file.
         config-file: './.github/dependency-review-config.yml'
         # Syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH
         config-file: 'github/octorepo/dependency-review-config.yml@main'

         # ([Token]) Use if your configuration file resides in a private external repository.
         # Possible values: Any GitHub token with read access to the private external repository.
         external-repo-token: 'ghp_123456789abcde'

  2. Crea el archivo de configuración en la ruta de acceso especificada.

    En este archivo de ejemplo YAML se ilustra cómo puedes usar las opciones de configuración disponibles.

    YAML
      # Possible values: "critical", "high", "moderate", "low"
  fail-on-severity: critical

   # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
   # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
  allow-ghsas:
    - GHSA-abcd-1234-5679
    - GHSA-efgh-1234-5679

    Para obtener más información sobre las opciones de configuración, consulta dependency-review-action.