依存関係レビューの適用について
Enterprise 所有者とリポジトリへの管理者アクセス権を持つユーザーは、それぞれ Enterprise とリポジトリに 依存関係レビュー アクション を追加できます。
リポジトリの dependency-review-action
を使用して pull request に依存関係レビューを実施できます。 このアクションは、pull request のパッケージ バージョンの変更によって発生した依存関係の脆弱なバージョンをスキャンし、関連するセキュリティの脆弱性について警告します。 これにより、pull request で何が変更されているかをより正確に把握でき、リポジトリに脆弱性が追加されるのを防ぐことができます。 詳細については、「依存関係の確認について」を参照してください。
組織内で 依存関係レビュー アクション を使用するには、pull request を統合する前に dependency-review-action
ワークフローを渡す必要があるリポジトリ ルールセットを設定します。 リポジトリ ルールセットは、ユーザーがリポジトリ内の選択したブランチとタグを操作する方法を制御できるルール設定です。 詳細については、「ルールセットについて」と「マージ前にワークフローに渡すことを必須にする」を参照してください。
前提条件
依存関係レビュー アクション を組織内のいずれかのリポジトリに追加し、アクションを設定する必要があります。 詳細については、「依存関係レビューアクションの構成」を参照してください。
組織の依存関係レビューを実施する
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織の隣の [設定] をクリックします。
-
左のサイド バーの [コード、計画、自動化] セクションで、[ リポジトリ] をクリックし、[ルールセット] をクリックします。
-
[新しいブランチ ルールセット] をクリックします。
-
[適用状態] を アクティブ に設定します。
-
必要に応じて、組織内の特定のリポジトリを対象にすることができます。 詳細については、「組織内でターゲットにするリポジトリの選択」を参照してください。
-
[ルール] セクションで、[マージ前にワークフローを渡すことを必須にする] オプションを選択します。
-
[ワークフロー設定] で、[ワークフローの追加] をクリックします。
-
ダイアログで、依存関係レビュー アクション を追加したリポジトリを選択します。 詳しい情報については、「前提条件」を参照してください。
-
拡張ダイアログで依存関係レビューのブランチとワークフロー ファイルを選択します。
-
[作成] をクリックします。