Enforcing dependency review across an organization

Dependency review lets you catch insecure dependencies before you introduce them to your environment. You can enforce the use of the action de révision des dépendances across your organization.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Dans cet article

About dependency review enforcement

Les propriétaires d’entreprise et les personnes avec un accès administrateur à un référentiel peuvent ajouter la action de révision des dépendances à leur entreprise et à leur référentiel, respectivement.

Le « action de révision des dépendances » fait référence à l’action spécifique qui peut signaler les différences dans une demande de tirage dans le contexte GitHub Actions. Consultez l’article dependency-review-action. Vous pouvez utiliser action de révision des dépendances pour appliquer des révisions de dépendances sur les demandes de tirage (pull requests) dans votre référentiel. L’action analyse les versions vulnérables des dépendances introduites par les modifications de version de package dans les demandes de tirage et vous avertit des vulnérabilités de sécurité associées. Cela vous donne une meilleure visibilité de ce qui change dans une demande de tirage et contribue à éviter l’ajout de vulnérabilités à votre dépôt. For more information, see À propos de la vérification des dépendances.

You can enforce the use of the action de révision des dépendances in your organization by setting up a repository ruleset that will require the dependency-review-action workflow to pass before pull requests can be merged. Repository rulesets are rule settings that allow you to control how users can interact with selected branches and tags in your repositories. For more information, see À propos des ensembles de règles and Require workflows to pass before merging.

Prerequisites

You need to add the action de révision des dépendances to one of the repositories in your organization, and configure the action. For more information, see Configuring the dependency review action.

Enforcing dependency review for your organization

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la barre latérale gauche, dans la section « Code, planification et automatisation », cliquez sur Repository, puis cliquez sur Jeux de règles.

    Capture d’écran de la page des paramètres d’une organisation. Dans la barre latérale, un lien intitulé « Ensembles de règles » est encadré en orange.

  4. Click the New ruleset dropdown menu, and select New branch ruleset.

  5. To help identify your ruleset and clarify its purpose, give the ruleset a name in Ruleset Name.

  6. Set Enforcement status to Active.

  7. Optionally, you can target specific repositories in your organization. For more information, see Choosing which repositories to target in your organization.

  8. In the "Rules" section, select the "Require workflows to pass before merging" option.

  9. In "Workflow configurations", click Add workflow.

  10. In the dialog, select the repository that you added the action de révision des dépendances to. For more information, see Prerequisites.

  11. Select a branch and the workflow file for dependency review in the enhanced dialog.

    Screenshot of the Add required workflow dialog. You need to specify a repository, branch, and workflow.

  12. Click Create.