Skip to main content

Configuração da revisão de dependência

Você pode usar a análise de dependência para capturar vulnerabilidades antes que elas sejam adicionadas ao projeto.

Sobre a análise de dependência

Revisão de dependências ajuda você a entender as alterações de dependência e o impacto de segurança dessas alterações em cada pull request. Ele fornece uma visualização facilmente compreensível de mudanças de dependência, com um rico diff na aba "Arquivos alterados" de um pull request. A revisão de dependências informa você:

  • Quais dependências foram adicionadas, removidas ou atualizadas, junto com as datas de versão.
  • Quantos projetos usam esses componentes.
  • Dados de vulnerabilidade para essas dependências.

Para obter mais informações, consulte "Sobre a revisão de dependência" ou "Como revisar as alterações de dependência em uma solicitação pull".

Sobre a configuração da revisão de dependência

A revisão de dependências está disponível quando o gráfico de dependências está habilitado para your GitHub Enterprise Server instance e Advanced Security está habilitado para a organização ou repositório. Para obter mais informações, confira "Como habilitar o GitHub Advanced Security para sua empresa".

Como verificar se o grafo de dependência está habilitado

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Configurações. Botão Configurações do repositório

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. Em "Configurar recursos de segurança e análise", verifique se o grafo de dependência está habilitado.

  4. Se o grafo de dependência estiver habilitado, clique em Habilitar ao lado de "GitHub Advanced Security" para habilitar Advanced Security, incluindo a revisão de dependência. O botão habilitar estará desabilitado se sua empresa não tiver licenças disponíveis para Advanced Security. Captura de tela de "Recursos de segurança e análise de código"

Configuração de dependency review action

Observação: no momento, o dependency review action está em versão beta pública e sujeita a alterações.

Os dependency review action verifica as solicitações de pull em busca de alterações de dependência e gera um erro quando novas dependências têm vulnerabilidades conhecidas. A ação tem o suporte de um ponto de extremidade de API que compara as dependências entre duas revisões e relata as diferenças.

Para obter mais informações sobre a ação e o ponto de extremidade da API, confira a documentação dependency-review-action e a "Análise de dependência" na documentação da API.

As opções de configuração a seguir estão disponíveis.

OpçãoObrigatórioUso
fail-on-severityOpcionalDefine o limite do nível de severidade (low, moderate, high e critical).
A ação falhará nas solicitações de pull que apresentarem vulnerabilidades no nível de severidade especificado ou superior.

Este arquivo de exemplo dependency review action ilustra como você pode usar essas opções de configuração.

YAML
name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v2
        with:
          # Possible values: "critical", "high", "moderate", "low" 
          fail-on-severity: critical

Para saber mais detalhes sobre as opções de configuração, confira dependency-review-action.