Acerca de la revisión de dependencias
La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña "Archivos cambiados" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:
- Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
- Cuántos proyectos utilizan estos componentes.
- Datos de las vulnerabilidades para estas dependencias.
Algunas características adicionales, como las comprobaciones de licencia, el bloqueo de las solicitudes de incorporación de cambios y la integración de CI/CD, están disponibles con la acción de revisión de dependencias.
Verificar si tu licencia incluye a la GitHub Advanced Security
Puedes identificar si tu empresa tiene una licencia de GitHub Advanced Security revisando los ajustes de la misma. Para obtener más información, vea «Habilitación de GitHub Advanced Security para su empresa».
Requisitos previos para la revisión de dependencias
-
Una licencia para GitHub Advanced Security (consulta "Acerca de la facturación de GitHub Advanced Security").
-
Gráfico de dependencias habilitado para la instancia. Los administradores del sitio pueden habilitar el gráfico de dependencias a través de la consola de administración o el shell administrativo (consulta "Habilitación del gráfico de dependencias para la empresa").
-
GitHub Connect habilitado para descargar y sincronizar vulnerabilidades de GitHub Advisory Database. Normalmente, esto se configura como parte de la configuración de Dependabot (consulta "Habilitación de Dependabot para la empresa").
Habilitación y deshabilitación de la revisión de dependencias
Para habilitar o deshabilitar la revisión de dependencias, debes habilitar o deshabilitar el gráfico de dependencias de la instancia.
Para obtener más información, vea «Habilitación del gráfico de dependencias para la empresa».
Ejecución de la revisión de dependencias con GitHub Actions
Nota: Acción de revisión de dependencias está actualmente en versión beta pública y sujeta a cambios.
La acción de revisión de la dependencia se incluye en tu instalación de GitHub Enterprise Server. Está disponible para todos los repositorios que tienen habilitado GitHub Advanced Security y gráfico de dependencias.
La Acción de revisión de dependencias examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.
Para obtener más información sobre la acción y el punto de conexión de API, consulta la documentación dependency-review-action y «Puntos de conexión de la API de REST para la revisión de dependencias».
Los usuarios ejecutan la acción de revisión de dependencias mediante un flujo de trabajo GitHub Actions Si aún no has configurado los ejecutores para GitHub Actions, debes hacerlo para permitir que los usuarios ejecuten flujos de trabajo. Puedes aprovisionar ejecutores auto-hospedados a nivel de repositorio, organización o empresa. Para información, consulta "Acerca de los ejecutores autohospedados" y "Agrega ejecutores auto-hospedados".