Configuration de la révision des dépendances

Vous pouvez utiliser la révision des dépendances pour intercepter les vulnérabilités avant qu’elles ne soient ajoutées à votre projet.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

À propos de la vérification des dépendances

Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Cette fonctionnalité fournit une visualisation facilement compréhensible des changements de dépendances avec des différences enrichies sous l’onglet « Fichiers modifiés » d’une demande de tirage (pull request). Une révision des dépendances vous informe de ce qui suit :

  • Dépendances ajoutées, supprimées ou mises à jour, ainsi que leurs dates de publication.
  • Nombre de projets utilisant ces composants.
  • Données de vulnérabilité pour ces dépendances.

Pour plus d’informations, consultez « À propos de la vérification des dépendances » et « Révision des changements de dépendances dans une demande de tirage ».

À propos de la configuration de la révision des dépendances

La révision des dépendances est disponible quand le graphe des dépendances est activé pour l’instance et qu’Advanced Security est activé pour l’organisation ou le dépôt. Pour plus d’informations, consultez « Activation de GitHub Advanced Security pour votre entreprise ».

Vérification de l’activation du graphique des dépendances

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Configurer les fonctionnalités de sécurité et d’analyse », vérifiez si le graphique des dépendances est activé.

  5. Si le graphique des dépendances est activé, cliquez sur Activer en regard de « GitHub Advanced Security » pour activer Advanced Security, y compris la révision des dépendances. Le bouton Activer est désactivé si votre entreprise n’a pas de licences disponibles pour Advanced Security.

    Capture d’écran des « Fonctionnalités de sécurité et d’analyse du code ».

À propos de la configuration de l’action de révision des dépendances

action de révision des dépendances analyse vos demandes de tirage à la recherche de changements de dépendances et génère une erreur si les nouvelles dépendances présentent des vulnérabilités connues. L’action est prise en charge par un point de terminaison d’API qui compare les dépendances entre deux révisions et signale toutes les différences.

Pour plus d’informations sur l’action et le point de terminaison d’API, consultez la documentation dependency-review-action et « Points de terminaison d’API REST pour la révision des dépendances ».

Les propriétaires de l’organisation peuvent déployer la révision des dépendances à grande échelle en appliquant l’utilisation de action de révision des dépendances dans les dépôt de l’organisation. Cela implique l’utilisation d’ensembles de règles de dépôt pour lesquels vous allez définir action de révision des dépendances comme flux de travail requis, ce qui signifie que les demandes de tirage ne peuvent être fusionnées qu’une fois que le flux de travail passe toutes les vérifications requises. Pour plus d’informations, consultez « Application de la révision des dépendances à travers une organisation ».

Voici une liste des options de configuration courantes. Pour plus d’informations et une liste complète d’options, consultez Révision des dépendances sur le GitHub Marketplace.

OptionObligatoireUsage
fail-on-severityDéfinit le seuil de gravité (low, moderate, high, critical).
L’action échoue sur toutes les demandes de tirage qui introduisent des vulnérabilités du niveau de gravité spécifié ou supérieur.
fail-on-scopesContient une liste de chaînes représentant les environnements de génération que vous souhaitez prendre en charge (development, runtime, unknown).
L'action échouera sur les demandes de tirage qui introduisent des vulnérabilités dans les champs d'application qui correspondent à la liste.
comment-summary-in-prActiver ou désactiver le rapport du résumé de la révision en tant que commentaire dans la demande de tirage. Si cette option est activée, vous devez accorder au flux de travail ou au travail l’autorisation pull-requests: write.
allow-ghsasContient la liste des ID de GitHub Advisory Database qui peuvent être ignorés pendant la détection. Vous trouverez les valeurs possibles pour ce paramètre dans GitHub Advisory Database.
config-fileIndique le chemin d'accès à un fichier de configuration. Le fichier de configuration peut être local au référentiel ou se trouver dans un référentiel externe.
external-repo-tokenSpécifie un jeton pour récupérer le fichier de configuration, si le fichier se trouve dans un référentiel externe privé. Le jeton doit disposer d’un accès en lecture au référentiel.

Pour aller plus loin