Skip to main content

À propos de la vérification des dépendances

La révision des dépendances vous permet d’intercepter les dépendances non sécurisées avant de les introduire dans votre environnement et fournit des informations sur la licence, les dépendants et l’âge des dépendances.

La révision des dépendances est disponible pour les référentiels appartenant à des organisations dans GitHub AE. Il s’agit d’une fonctionnalité de GitHub Advanced Security (gratuite avec la version bêta). Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos de la vérification des dépendances

Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Cette fonctionnalité fournit une visualisation facilement compréhensible des changements de dépendances avec des différences enrichies sous l’onglet « Fichiers modifiés » d’une demande de tirage (pull request). Une révision des dépendances vous informe de ce qui suit :

  • Dépendances ajoutées, supprimées ou mises à jour, ainsi que leurs dates de publication.
  • Nombre de projets utilisant ces composants.
  • Données de vulnérabilité pour ces dépendances.

Si une demande de tirage (pull request) cible la branche par défaut de votre dépôt et contient des modifications apportées aux manifestes du package ou aux fichiers de verrouillage, vous pouvez afficher une révision des dépendances pour voir ce qui a changé. La révision des dépendances inclut des détails sur les modifications apportées aux dépendances indirectes dans les fichiers de verrouillage et vous indique si l’une des dépendances ajoutées ou mises à jour contient des vulnérabilités connues.

Parfois, vous pouvez simplement mettre à jour la version d’une dépendance dans un manifeste et générer une demande de tirage. Toutefois, si la version mise à jour de cette dépendance directe a également des dépendances mises à jour, votre demande de tirage peut avoir plus de modifications que prévu. La révision des dépendances pour chaque manifeste et fichier de verrouillage offre un moyen simple de voir ce qui a changé et de déterminer si l’une des nouvelles versions de dépendances contient des vulnérabilités connues.

En vérifiant les révisions de dépendances dans une demande de tirage et en changeant les dépendances marquées comme vulnérables, vous pouvez éviter l’ajout de vulnérabilités à votre projet. Pour plus d’informations sur le fonctionnement de la révision des dépendances, consultez « Examen des modifications de dépendances dans une demande de tirage ».

Pour plus d’informations sur la configuration de la révision des dépendances, consultez « Configuration de la révision des dépendances ».

Les Dependabot alerts trouvent des vulnérabilités qui figurent déjà dans vos dépendances, mais il vaut bien mieux éviter d’introduire des problèmes potentiels que de résoudre les problèmes à une date ultérieure. Pour plus d’informations sur les Dependabot alerts, consultez « À propos des Dependabot alerts ».

La révision des dépendances prend en charge les mêmes langages et les mêmes écosystèmes de gestion des packages que le graphe de dépendances. Pour plus d’informations, consultez « À propos du graphe des dépendances ».

Pour plus d’informations sur les fonctionnalités de la chaîne d’approvisionnement disponibles sur GitHub AE, consultez « À propos de la sécurité de la chaîne d’approvisionnement ».