Configuring dependency review for your appliance

To help users understand dependency changes when reviewing pull requests, you can enable, configure, and disable dependency review for votre instance GitHub Enterprise Server.

Qui peut utiliser cette fonctionnalité ?

La révision des dépendances est disponible pour les dépôts appartenant à des organisations dans GitHub Enterprise Server. Cette fonctionnalité nécessite une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Configurer GitHub Advanced Security

4 sur 6 dans le parcours d’apprentissage
Suivant:Configuring secret scanning for your appliance

Dans cet article

About dependency review

Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Cette fonctionnalité fournit une visualisation facilement compréhensible des changements de dépendances avec des différences enrichies sous l’onglet « Fichiers modifiés » d’une demande de tirage (pull request). Une révision des dépendances vous informe de ce qui suit :

  • Dépendances ajoutées, supprimées ou mises à jour, ainsi que leurs dates de publication.
  • Nombre de projets utilisant ces composants.
  • Données de vulnérabilité pour ces dépendances.

Some additional features, such as license checks, blocking of pull requests, and CI/CD integration, are available with the dependency review action.

Checking whether your license includes GitHub Advanced Security

Vous pouvez déterminer si votre entreprise dispose d’une licence GitHub Advanced Security en examinant ses paramètres. Pour plus d’informations, consultez « Enabling GitHub Advanced Security for your enterprise ».

Prerequisites for dependency review

Enabling and disabling dependency review

To enable or disable dependency review, you need to enable or disable the dependency graph for your instance.

For more information, see "Enabling the dependency graph for your enterprise."

Running dependency review using GitHub Actions

Remarque : La action de révision des dépendances est en version bêta publique et peut être amenée à changer.

The dependency review action is included in your installation of GitHub Enterprise Server. It is available for all repositories that have GitHub Advanced Security and dependency graph enabled.

action de révision des dépendances analyse vos demandes de tirage à la recherche de changements de dépendances et génère une erreur si les nouvelles dépendances présentent des vulnérabilités connues. L’action est prise en charge par un point de terminaison d’API qui compare les dépendances entre deux révisions et signale toutes les différences.

Pour plus d’informations sur l’action et le point de terminaison d’API, consultez la documentation dependency-review-action et « Points de terminaison d’API REST pour la révision des dépendances ».

Users run the dependency review action using a GitHub Actions workflow. If you have not already set up runners for GitHub Actions, you must do this to enable users to run workflows. You can provision self-hosted runners at the repository, organization, or enterprise account level. For information, see "À propos des exécuteurs auto-hébergés" and "Ajout d’exécuteurs auto-hébergés."

PrécédentConfiguring code scanning for your applianceSuivantConfiguring secret scanning for your appliance