Skip to main content

依存関係レビュー アクションの構成

依存関係レビュー アクション を使うと、プロジェクトに追加される前に脆弱性を検出できます。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

依存関係レビュー アクション について

"依存関係レビュー アクション" とは、GitHub Actions コンテキスト内の pull request の差異を報告し、GitHub Actions ワークフローに適用メカニズムを追加できる特定のアクションです。

依存関係レビュー アクション では、pull request で依存関係の変更をスキャンし、新しい依存関係に既知の脆弱性がある場合にエラーを発生させます。 このアクションは、2 つのリビジョン間の依存関係を比較し、相違点を報告する API エンドポイントによってサポートされます。

アクションと API エンドポイントの詳細については、dependency-review-action ドキュメントと「依存関係レビュー用の REST API エンドポイント」を参照してください。

組織の所有者は、組織内のリポジトリ全体で 依存関係レビュー アクション の使用を実施することで、依存関係レビューを大規模にロールアウトできます。 これには、必要なワークフローとして 依存関係レビュー アクション を設定するためのリポジトリ ルールセットの使用が含まれます。つまり、pull requestは、ワークフローが必要なすべてのチェックに合格した後にのみ統合できます。 詳しくは、「組織全体で依存関係レビューを実施する」をご覧ください。

一般的な構成オプションの一覧を示します。 詳細とオプションの完全な一覧については、GitHub Marketplace の「依存関係レビュー」を参照してください。

オプション必須使用法
fail-on-severity重大度レベル (lowmoderatehighcritical) のしきい値を定義します。
アクションは、指定した重大度レベル以上の脆弱性を引き起こす pull request で失敗します。
fail-on-scopesサポートするビルド環境 (developmentruntimeunknown) を表す文字列のリストが含まれます。
このアクションは、リストに一致する範囲に脆弱性をもたらす pull request によって失敗します。
comment-summary-in-prpull request で、レビュー概要のレポートをコメントとして有効または無効にします。 有効にした場合は、ワークフローまたはジョブに pull-requests: write アクセス許可を付与する必要があります。
allow-ghsas検出中にスキップできる GitHub Advisory Database ID のリストが含まれています。 このパラメーターに指定できる値は、GitHub Advisory Database で見つけることができます。
config-file構成ファイルのパスを指定します。 構成ファイルは、リポジトリに対してローカルにすることも、外部リポジトリにあるファイルにすることもできます。
external-repo-tokenファイルがプライベート外部リポジトリに存在する場合に、構成ファイルをフェッチするためのトークンを指定します。 トークンには、リポジトリへの読み取りアクセスが必要です。

参考資料