About dependency review
依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。pull request の [Files Changed](変更されたファイル) タブ上のリッチ diff で依存関係の変更をわかりやすく視覚化できます。 依存関係レビューは、以下のことを知らせます:
- リリース日と合わせて、追加、削除、更新された依存関係。
- これらのコンポーネントを使うプロジェクトの数。
- これらの依存関係に関する脆弱性のデータ。
Some additional features, such as license checks, blocking of pull requests, and CI/CD integration, are available with the dependency review action.
Checking whether your license includes GitHub Advanced Security
エンタープライズ設定を確認することで、エンタープライズに GitHub Advanced Security ライセンスがあるかどうかを確認できます。 詳しくは、「Enabling GitHub Advanced Security for your enterprise」を参照してください。
Prerequisites for dependency review
-
A license for GitHub Advanced Security (see "GitHub Advanced Security の課金について").
-
The dependency graph enabled for the instance. Site administrators can enable the dependency graph via the management console or the administrative shell (see "Enabling the dependency graph for your enterprise").
-
GitHub Connect enabled to download and synchronize vulnerabilities from the GitHub Advisory Database. This is usually configured as part of setting up Dependabot (see "Enabling Dependabot for your enterprise").
Enabling and disabling dependency review
To enable or disable dependency review, you need to enable or disable the dependency graph for your instance.
For more information, see "Enabling the dependency graph for your enterprise."
Running dependency review using GitHub Actions
注: 現在、依存関係レビュー アクション はパブリック ベータ段階であり、変更される可能性があります。
The dependency review action is included in your installation of GitHub Enterprise Server. It is available for all repositories that have GitHub Advanced Security and dependency graph enabled.
依存関係レビュー アクション では、pull request で依存関係の変更をスキャンし、新しい依存関係に既知の脆弱性がある場合にエラーを発生させます。 このアクションは、2 つのリビジョン間の依存関係を比較し、相違点を報告する API エンドポイントによってサポートされます。
アクションと API エンドポイントについて詳しくは、dependency-review-action のドキュメントと、「依存関係レビュー用の REST API エンドポイント」をご覧ください。
Users run the dependency review action using a GitHub Actions workflow. If you have not already set up runners for GitHub Actions, you must do this to enable users to run workflows. You can provision self-hosted runners at the repository, organization, or enterprise account level. For information, see "セルフホステッド ランナーの概要" and "自己ホストランナーの追加."