Sobre a análise de dependência
Revisão de dependências ajuda você a entender as alterações de dependência e o impacto de segurança dessas alterações em cada pull request. Ele fornece uma visualização facilmente compreensível de mudanças de dependência, com um diff avançado na aba "Arquivos alterados" de uma solicitação de pull. A revisão de dependências informa você:
- Quais dependências foram adicionadas, removidas ou atualizadas, junto com as datas de versão.
- Quantos projetos usam esses componentes.
- Dados de vulnerabilidade para essas dependências.
Para obter mais informações, confira "Sobre a análise de dependência" e "Revendo alterações de dependência em um pull request."
Sobre a configuração da revisão de dependência
A revisão de dependência fica disponível quando o grafo de dependência é habilitado para a instância e o Advanced Security é habilitado para a organização ou o repositório. Para obter mais informações, confira "Como habilitar a Segurança Avançada do GitHub para sua empresa".
Como verificar se o grafo de dependência está habilitado
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Configurar recursos de segurança e análise", verifique se o grafo de dependência está habilitado.
-
Se o grafo de dependência estiver habilitado, clique em Habilitar ao lado de "GitHub Advanced Security" para habilitar Advanced Security, incluindo a revisão de dependência. O botão “Habilitar” fica desabilitado quando a empresa não tem licenças disponíveis para o Advanced Security.
Sobre a configuração da ação de revisão de dependência
O ação de revisão de dependência verifica as solicitações de pull em busca de alterações de dependência e gera um erro quando novas dependências têm vulnerabilidades conhecidas. A ação tem o suporte de um ponto de extremidade de API que compara as dependências entre duas revisões e relata as diferenças.
Para obter mais informações sobre a ação e o ponto de extremidade da API, consulte a documentação dependency-review-action
e "Pontos de extremidade da API REST para revisão de dependências".
Os proprietários da organização podem implantar a revisão de dependência em escala impondo o uso do ação de revisão de dependência em repositórios da organização. Isso envolve o uso de conjuntos de regras de repositório para os quais você definirá o ação de revisão de dependência como um fluxo de trabalho obrigatório, o que significa que as pull requests só podem ser mescladas depois que o fluxo de trabalho passar por todas as verificações necessárias. Para obter mais informações, confira "Aplicando a revisão de dependência em uma organização".
Abaixo está a lista de opções de configuração comuns. Para obter mais informações e uma lista completa de opções, confira Revisão de Dependência no GitHub Marketplace.
Opção | Obrigatório | Uso |
---|---|---|
fail-on-severity | Define o limite do nível de severidade (low , moderate , high e critical ).A ação falhará nas solicitações de pull que apresentarem vulnerabilidades no nível de severidade especificado ou superior. | |
fail-on-scopes | Contém uma lista de cadeias de caracteres que representam os ambientes de compilação aos quais você deseja oferecer suporte (development , runtime , unknown ). A ação falhará em solicitações de pull que introduzam vulnerabilidades nos escopos que correspondem à lista. | |
comment-summary-in-pr | Habilite ou desabilite o relatório do resumo de revisão como um comentário na solicitação de pull. Se habilitado, você deve conceder a permissão pull-requests: write ao workflow ou ao trabalho. | |
allow-ghsas | Contém uma lista de IDs GitHub Advisory Database que podem ser ignorados durante a detecção. É possível encontrar os valores possíveis para este parâmetro no GitHub Advisory Database. | |
config-file | Especifica um caminho para um arquivo de configuração. O arquivo de configuração pode ser local ao repositório ou pode estar em um repositório externo. | |
external-repo-token | Especifica um token para buscar o arquivo de configuração, se o arquivo residir em um repositório externo privado. O token deve ter acesso de leitura ao repositório. |