À propos de la vérification des dépendances
Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Cette fonctionnalité fournit une visualisation facilement compréhensible des changements de dépendances avec des différences enrichies sous l’onglet « Fichiers modifiés » d’une demande de tirage (pull request). Une révision des dépendances vous informe de ce qui suit :
- Dépendances ajoutées, supprimées ou mises à jour, ainsi que leurs dates de publication.
- Nombre de projets utilisant ces composants.
- Données de vulnérabilité pour ces dépendances.
Pour les demandes de tirage (pull request) qui contiennent des modifications apportées aux manifestes du package ou aux fichiers de verrouillage, vous pouvez afficher une révision des dépendances pour voir ce qui a changé. La révision des dépendances inclut des détails sur les modifications apportées aux dépendances indirectes dans les fichiers de verrouillage et vous indique si l’une des dépendances ajoutées ou mises à jour contient des vulnérabilités connues.
Note
Le « action de révision des dépendances » fait référence à l’action spécifique qui peut signaler les différences dans une demande de tirage dans le contexte GitHub Actions, et ajouter des mécanismes d’application au workflow GitHub Actions. Pour plus d’informations, consultez Le action de révision des dépendances plus loin dans cet article.
Parfois, vous pouvez simplement mettre à jour la version d’une dépendance dans un manifeste et générer une demande de tirage. Toutefois, si la version mise à jour de cette dépendance directe a également des dépendances mises à jour, votre demande de tirage peut avoir plus de modifications que prévu. La révision des dépendances pour chaque manifeste et fichier de verrouillage offre un moyen simple de voir ce qui a changé et de déterminer si l’une des nouvelles versions de dépendances contient des vulnérabilités connues.
En vérifiant les révisions de dépendances dans une demande de tirage et en changeant les dépendances marquées comme vulnérables, vous pouvez éviter l’ajout de vulnérabilités à votre projet. Pour plus d’informations sur le fonctionnement d’une révision de dépendances, consultez Révision des changements de dépendances dans une demande de tirage.
Les Dependabot alerts trouvent des vulnérabilités qui figurent déjà dans vos dépendances, mais il vaut bien mieux éviter d’introduire des problèmes potentiels que de résoudre les problèmes à une date ultérieure. Pour plus d’informations sur Dependabot alerts, consultez À propos des alertes Dependabot.
La révision des dépendances prend en charge les mêmes langages et les mêmes écosystèmes de gestion des packages que le graphe de dépendances. Pour plus d’informations, consultez « Écosystèmes de packages pris en charge pour le graphe des dépendances ».
Pour plus d’informations sur les fonctionnalités de la chaîne d’approvisionnement disponibles sur GitHub Enterprise Server, consultez À propos de la sécurité de la chaîne d’approvisionnement.
Activation de la révision des dépendances
La fonctionnalité de révision des dépendances devient disponible quand vous activez le graphe de dépendances. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise ».
À propos de action de révision des dépendances
Le « action de révision des dépendances » fait référence à l’action spécifique qui peut signaler les différences dans une demande de tirage dans le contexte GitHub Actions. Consultez l’article dependency-review-action
. Vous pouvez utiliser action de révision des dépendances pour appliquer des révisions de dépendances sur les demandes de tirage (pull requests) dans votre référentiel. L’action analyse les versions vulnérables des dépendances introduites par les modifications de version de package dans les demandes de tirage et vous avertit des vulnérabilités de sécurité associées. Cela vous donne une meilleure visibilité de ce qui change dans une demande de tirage et contribue à éviter l’ajout de vulnérabilités à votre dépôt.
Par défaut, la action de révision des dépendances échoue si elle découvre des packages vulnérables. Une vérification ayant échoué empêche la fusion d’une demande de tirage lorsque le propriétaire du référentiel requiert la vérification de l’évaluation des dépendances. Pour plus d’informations, consultez « À propos des branches protégées ».
L’action est disponible pour tous les référentiels publics avec GitHub Advanced Security activé.
Les propriétaires d’entreprise et les personnes avec un accès administrateur à un référentiel peuvent ajouter la action de révision des dépendances à leur entreprise et à leur référentiel, respectivement.
L’action utilise l’API REST de révision des dépendances pour obtenir la différence des modifications de dépendance entre le commit de base et le commit de tête. Vous pouvez utiliser l’API de révision de dépendance pour obtenir la différence des modifications de dépendance, y compris les données de vulnérabilité, entre deux commits sur un dépôt. Pour plus d’informations, consultez Points de terminaison d’API REST pour la révision des dépendances.