Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Configurando a revisão de dependências

Você pode usar a análise de dependência para capturar vulnerabilidades antes que sejam adicionadas ao seu projeto.

Sobre revisão de dependências

Revisão de dependências ajuda você a entender as alterações de dependência e o impacto de segurança dessas alterações em cada pull request. Ele fornece uma visualização facilmente compreensível de mudanças de dependência, com um rico diff na aba "Arquivos alterados" de um pull request. A revisão de dependências informa você:

  • Quais dependências foram adicionadas, removidas ou atualizadas, junto com as datas de versão.
  • Quantos projetos usam esses componentes.
  • Dados de vulnerabilidade para essas dependências.

Para obter mais informações, consulteSobre a revisão de dependências" eRevisando as alterações de dependência em um pull request".

Sobre a configuração de revisão de dependências

Revisão de dependências está incluída em GitHub Enterprise Cloud para repositórios públicos. Para usar a revisão de dependências em repositórios privados pertencentes a organizações, você deve ter uma licença para Segurança Avançada GitHub e ter o gráfico de dependências habilitado.

Os administradores de repositórios podem habilitar ou desabilitar o gráfico de dependências em repositórios privados.

Você também pode habilitar ou desabilitar o gráfico de dependências para todos os repositórios pertencentes à sua conta de usuário ou organização. For more information, see "Configuring the dependency graph."

  1. No GitHub.com, navegue até a página principal do repositório.

  2. No nome do seu repositório, clique em Configurações. Botão de configurações do repositório

  3. In the "Security" section of the sidebar, click Code security and analysis.

  4. Leia a mensagem sobre a concessão de acesso somente leitura pelo GitHub Enterprise Cloud aos dados do repositório para habilitar o gráfico de dependências e, em seguida, ao lado de "Gráfico de Dependência", clique em Habilitar. "Enable" button for the dependency graph You can disable the dependency graph at any time by clicking Disable next to "Dependency Graph" on the settings page for "Code security and analysis."

  5. Se "Segurança Avançada GitHub não estiver ativado, clique em Habilitar ao lado do recurso. Captura de tela do recurso do GitHub Advanced Security com o botão "Habilitar" destacado

Configurando o Dependency Review GitHub Action

Note: The Dependency Review GitHub Action is currently in public beta and subject to change.

The Dependency Review GitHub Action scans your pull requests for dependency changes and raises an error if any new dependencies have known vulnerabilities. The action is supported by an API endpoint that compares the dependencies between two revisions and reports any differences.

For more information about the action and the API endpoint, see "About dependency review," and "Dependency review" in the API documentation, respectively.

As seguintes opções de configuração estão disponíveis.

OpçãoObrigatórioUso
fail-on-severityOpcionalDefine o limite para o nível de gravidade (baixo, moderado, alto, grave).
A ação irpa falhar em qualquer pull request que introduzir vulnerabilidades do nível de gravidade especificado ou superior.
allow-licensesOpcionalContém uma lista de licenças permitidas. Você pode encontrar os valores possíveis para este parâmetro na página de Licenças da documentação da API.
A ação falhará em pull requests que introduzem dependências com licenças que não correspondem à lista.
deny-licensesOpcionalContém uma lista de licenças proibidas. Você pode encontrar os valores possíveis para este parâmetro na página de Licenças da documentação da API.
A ação falhará em pull requests que introduzem dependências com licenças que correspondam à lista.

Dica de : As opções allow-licenses e deny-licenses são mutuamente exclusivas.

Este exemplo do arquivo de Dependency Review GitHub Action ilustra como você pode usar essas opções de configuração.

YAML
name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v2
        with:
          # Possible values: "critical", "high", "moderate", "low" 
          fail-on-severity: critical
          # You can only can only include one of these two options: `allow-licenses` and `deny-licences`
          # ([String]). Only allow these licenses (optional)
          # Possible values: Any `spdx_id` value(s) from https://docs.github.com/en/rest/licenses 
          # allow-licenses: GPL-3.0, BSD-3-Clause, MIT

          # ([String]). Block the pull request on these licenses (optional)
          # Possible values: Any  `spdx_id` value(s) from https://docs.github.com/en/rest/licenses 
          # deny-licenses: LGPL-2.0, BSD-2-Clause

Para obter mais detalhes sobre as opções de configuração, consulte dependency-review-action.