À propos de la vérification des dépendances
Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Cette fonctionnalité fournit une visualisation facilement compréhensible des changements de dépendances avec des différences enrichies sous l’onglet « Fichiers modifiés » d’une demande de tirage (pull request). Une révision des dépendances vous informe de ce qui suit :
- Dépendances ajoutées, supprimées ou mises à jour, ainsi que leurs dates de publication.
- Nombre de projets utilisant ces composants.
- Données de vulnérabilité pour ces dépendances.
Pour plus d’informations, consultez « À propos de la vérification des dépendances » et « Révision des changements de dépendances dans une demande de tirage ».
À propos de la configuration de la révision des dépendances
La révision des dépendances est disponible quand le graphe des dépendances est activé pour l’instance et qu’Advanced Security est activé pour l’organisation ou le dépôt. Pour plus d’informations, consultez « Activation de GitHub Advanced Security pour votre entreprise ».
Vérification de l’activation du graphique des dépendances
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
-
Sous « Configurer les fonctionnalités de sécurité et d’analyse », vérifiez si le graphique des dépendances est activé.
-
Si le graphique des dépendances est activé, cliquez sur Activer en regard de « GitHub Advanced Security » pour activer Advanced Security, y compris la révision des dépendances. Le bouton Activer est désactivé si votre entreprise n’a pas de licences disponibles pour Advanced Security.
À propos de la configuration de l’action de révision des dépendances
action de révision des dépendances analyse vos demandes de tirage à la recherche de changements de dépendances et génère une erreur si les nouvelles dépendances présentent des vulnérabilités connues. L’action est prise en charge par un point de terminaison d’API qui compare les dépendances entre deux révisions et signale toutes les différences.
Pour plus d’informations sur l’action et le point de terminaison d’API, consultez la documentation dependency-review-action
et « Points de terminaison d’API REST pour la révision des dépendances ».
Les propriétaires de l’organisation peuvent déployer la révision des dépendances à grande échelle en appliquant l’utilisation de action de révision des dépendances dans les dépôt de l’organisation. Cela implique l’utilisation d’ensembles de règles de dépôt pour lesquels vous allez définir action de révision des dépendances comme flux de travail requis, ce qui signifie que les demandes de tirage ne peuvent être fusionnées qu’une fois que le flux de travail passe toutes les vérifications requises. Pour plus d’informations, consultez « Application de la révision des dépendances à travers une organisation ».
Voici une liste des options de configuration courantes. Pour plus d’informations et une liste complète d’options, consultez Révision des dépendances sur le GitHub Marketplace.
Option | Obligatoire | Usage |
---|---|---|
fail-on-severity | Définit le seuil de gravité (low , moderate , high , critical ).L’action échoue sur toutes les demandes de tirage qui introduisent des vulnérabilités du niveau de gravité spécifié ou supérieur. | |
fail-on-scopes | Contient une liste de chaînes représentant les environnements de génération que vous souhaitez prendre en charge (development , runtime , unknown ). L'action échouera sur les demandes de tirage qui introduisent des vulnérabilités dans les champs d'application qui correspondent à la liste. | |
comment-summary-in-pr | Activer ou désactiver le rapport du résumé de la révision en tant que commentaire dans la demande de tirage. Si cette option est activée, vous devez accorder au flux de travail ou au travail l’autorisation pull-requests: write . | |
allow-ghsas | Contient la liste des ID de GitHub Advisory Database qui peuvent être ignorés pendant la détection. Vous trouverez les valeurs possibles pour ce paramètre dans GitHub Advisory Database. | |
config-file | Indique le chemin d'accès à un fichier de configuration. Le fichier de configuration peut être local au référentiel ou se trouver dans un référentiel externe. | |
external-repo-token | Spécifie un jeton pour récupérer le fichier de configuration, si le fichier se trouve dans un référentiel externe privé. Le jeton doit disposer d’un accès en lecture au référentiel. |