Sobre a aplicação da revisão de dependência
O "ação de revisão de dependência" se refere à ação específica que pode relatar diferenças em um pull request dentro do contexto do GitHub Actions. Consulte dependency-review-action
. É possível usar o ação de revisão de dependência no repositório para impor revisões de dependência em solicitações de pull. A ação examina versões vulneráveis de dependências introduzidas por alterações de versão do pacote em solicitações de pull e avisa você sobre as vulnerabilidades de segurança associadas. Isso oferece uma melhor visibilidade do que está mudando em uma solicitação de pull e ajuda a evitar que vulnerabilidades sejam adicionadas ao repositório. Para obter mais informações, consulte Sobre a análise de dependência.
Você pode impor o uso do ação de revisão de dependência em sua organização configurando um conjunto de regras de repositório que exigirá que o fluxo de trabalho dependency-review-action
seja aprovado antes que as pull requests possam ser mescladas. Os conjuntos de regras do repositório são configurações de regras que permitem controlar como os usuários podem interagir com branches e tags selecionados em seus repositórios. Para obter mais informações, consulte Sobre os conjuntos de regras e Exigir que os fluxos de trabalho passem antes da mesclagem.
Pré-requisitos
Você precisa adicionar o ação de revisão de dependência a um dos repositórios em sua organização e configurar a ação. Para obter mais informações, consulte Configuração da ação de revisão de dependência.
Aplicando a revisão de dependência em uma organização
-
No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
-
Ao lado da organização, clique em Configurações.
-
Na barra lateral esquerda, na seção "Código, planejamento e automação", clique em Repositório e em Conjuntos de regras.
-
Clique em Novo conjunto de regras de branch.
-
Defina o status de aplicação como Ativo.
-
Opcionalmente, você pode direcionar repositórios específicos em sua organização. Para obter mais informações, consulte Escolha de quais repositórios serão direcionados em sua organização.
-
Na seção "Regras", selecione a opção "Exigir que os fluxos de trabalho sejam aprovados antes do merge".
-
Em "Configurações de fluxo de trabalho", clique em Adicionar fluxo de trabalho.
-
Na caixa de diálogo, selecione o repositório ao qual você adicionou o ação de revisão de dependência. Para obter mais informações, veja Pré-requisitos.
-
Selecione um branch e o arquivo de fluxo de trabalho para revisão de dependência na caixa de diálogo aprimorada.
-
Clique em Criar.