À propos de action de révision des dépendances
Le « action de révision des dépendances » fait référence à l’action spécifique qui peut signaler les différences dans une demande de tirage dans le contexte GitHub Actions, et ajouter des mécanismes d’application au workflow GitHub Actions.
action de révision des dépendances analyse vos demandes de tirage à la recherche de changements de dépendances et génère une erreur si les nouvelles dépendances présentent des vulnérabilités connues. L’action est prise en charge par un point de terminaison d’API qui compare les dépendances entre deux révisions et signale toutes les différences.
Pour plus d’informations sur l’action et le point de terminaison d’API, consultez la documentation dependency-review-action
et « Points de terminaison d’API REST pour la révision des dépendances ».
Les propriétaires de l’organisation peuvent déployer la révision des dépendances à grande échelle en appliquant l’utilisation de action de révision des dépendances dans les dépôt de l’organisation. Cela implique l’utilisation d’ensembles de règles de dépôt pour lesquels vous allez définir action de révision des dépendances comme flux de travail requis, ce qui signifie que les demandes de tirage ne peuvent être fusionnées qu’une fois que le flux de travail passe toutes les vérifications requises. Pour plus d’informations, consultez « Application de la révision des dépendances à travers une organisation ».
Voici une liste des options de configuration courantes. Pour plus d’informations et une liste complète d’options, consultez Révision des dépendances sur le GitHub Marketplace.
Option | Obligatoire | Usage |
---|---|---|
fail-on-severity | Définit le seuil de gravité (low , moderate , high , critical ).L’action échoue sur toutes les demandes de tirage qui introduisent des vulnérabilités du niveau de gravité spécifié ou supérieur. | |
fail-on-scopes | Contient une liste de chaînes représentant les environnements de génération que vous souhaitez prendre en charge (development , runtime , unknown ). L'action échouera sur les demandes de tirage qui introduisent des vulnérabilités dans les champs d'application qui correspondent à la liste. | |
comment-summary-in-pr | Activer ou désactiver le rapport du résumé de la révision en tant que commentaire dans la demande de tirage. Si cette option est activée, vous devez accorder au flux de travail ou au travail l’autorisation pull-requests: write . | |
allow-ghsas | Contient la liste des ID de GitHub Advisory Database qui peuvent être ignorés pendant la détection. Vous trouverez les valeurs possibles pour ce paramètre dans GitHub Advisory Database. | |
config-file | Indique le chemin d'accès à un fichier de configuration. Le fichier de configuration peut être local au référentiel ou se trouver dans un référentiel externe. | |
external-repo-token | Spécifie un jeton pour récupérer le fichier de configuration, si le fichier se trouve dans un référentiel externe privé. Le jeton doit disposer d’un accès en lecture au référentiel. |