依存関係レビューの適用について
Enterprise 所有者とリポジトリへの管理者アクセス権を持つユーザーは、それぞれ Enterprise とリポジトリに 依存関係レビュー アクション を追加できます。
"依存関係レビュー アクション" とは、GitHub Actions コンテキスト内の pull request の差異を報告できる特定のアクションです。 以下を参照してください。dependency-review-action
リポジトリで 依存関係レビュー アクション を使って、pull request に依存関係レビューを適用できます。 このアクションは、pull request のパッケージ バージョンの変更によって発生した依存関係の脆弱なバージョンをスキャンし、関連するセキュリティの脆弱性について警告します。 これにより、pull request で何が変更されているかをより正確に把握でき、リポジトリに脆弱性が追加されるのを防ぐことができます。詳しくは、「依存関係の確認について」をご覧ください。
組織内で 依存関係レビュー アクション を使用するには、pull request を統合する前に dependency-review-action
ワークフローを渡す必要があるリポジトリ ルールセットを設定します。 リポジトリ ルールセットは、ユーザーがリポジトリ内の選択したブランチとタグを操作する方法を制御できるルール設定です。 詳しくは、「ルールセットについて」と「マージ前にワークフローに渡すことを必須にする」をご覧ください。
前提条件
依存関係レビュー アクション を組織内のいずれかのリポジトリに追加し、アクションを設定する必要があります。 詳しくは、「依存関係レビューアクションの構成」をご覧ください。
組織の依存関係レビューを実施する
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織の隣の [設定] をクリックします。
-
左のサイド バーの [コード、計画、自動化] セクションで、[ リポジトリ] をクリックし、[ルールセット] をクリックします。
-
[新しいブランチ ルールセット] をクリックします。
-
[適用状態] を アクティブ に設定します。
-
必要に応じて、組織内の特定のリポジトリを対象にすることができます。 詳しくは、「組織内でターゲットにするリポジトリの選択」をご覧ください。
-
[ルール] セクションで、[マージ前にワークフローを渡すことを必須にする] オプションを選択します。
-
[ワークフロー設定] で、[ワークフローの追加] をクリックします。
-
ダイアログで、依存関係レビュー アクション を追加したリポジトリを選択します。 詳細については、「前提条件」を参照してください。
-
拡張ダイアログで依存関係レビューのブランチとワークフロー ファイルを選択します。
-
[作成] をクリックします。