About dependency review
Revisão de dependências ajuda você a entender as alterações de dependência e o impacto de segurança dessas alterações em cada pull request. Ele fornece uma visualização facilmente compreensível de mudanças de dependência, com um diff avançado na aba "Arquivos alterados" de uma solicitação de pull. A revisão de dependências informa você:
- Quais dependências foram adicionadas, removidas ou atualizadas, junto com as datas de versão.
- Quantos projetos usam esses componentes.
- Dados de vulnerabilidade para essas dependências.
Some additional features, such as license checks, blocking of pull requests, and CI/CD integration, are available with the dependency review action.
Checking whether your license includes GitHub Advanced Security
Identifique se a sua empresa tem uma licença do GitHub Advanced Security revisando as configurações da empresa. Para obter mais informações, confira "Enabling GitHub Advanced Security for your enterprise".
Prerequisites for dependency review
-
A license for GitHub Advanced Security (see "Sobre o faturamento da Segurança Avançada do GitHub").
-
The dependency graph enabled for the instance. Site administrators can enable the dependency graph via the management console or the administrative shell (see "Enabling the dependency graph for your enterprise").
-
GitHub Connect enabled to download and synchronize vulnerabilities from the GitHub Advisory Database. This is usually configured as part of setting up Dependabot (see "Enabling Dependabot for your enterprise").
Enabling and disabling dependency review
To enable or disable dependency review, you need to enable or disable the dependency graph for your instance.
For more information, see "Enabling the dependency graph for your enterprise."
Running dependency review using GitHub Actions
Observação: no momento, o ação de revisão de dependência está em versão beta pública e sujeito a alterações.
The dependency review action is included in your installation of GitHub Enterprise Server. It is available for all repositories that have GitHub Advanced Security and dependency graph enabled.
O ação de revisão de dependência verifica as solicitações de pull em busca de alterações de dependência e gera um erro quando novas dependências têm vulnerabilidades conhecidas. A ação tem o suporte de um ponto de extremidade de API que compara as dependências entre duas revisões e relata as diferenças.
Para obter mais informações sobre a ação e o ponto de extremidade da API, consulte a documentação dependency-review-action e "Pontos de extremidade da API REST para revisão de dependências".
Users run the dependency review action using a GitHub Actions workflow. If you have not already set up runners for GitHub Actions, you must do this to enable users to run workflows. You can provision self-hosted runners at the repository, organization, or enterprise account level. For information, see "Sobre executores auto-hospedados" and "Adicionar executores auto-hospedados."