Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
Atualmente o GitHub AE está em versão limitada.
All products
Segurança do código

Configuração da revisão de dependência

Neste artigo

Você pode usar a análise de dependência para capturar vulnerabilidades antes que elas sejam adicionadas ao projeto.

Sobre a análise de dependência

Revisão de dependências ajuda você a entender as alterações de dependência e o impacto de segurança dessas alterações em cada pull request. Ele fornece uma visualização facilmente compreensível de mudanças de dependência, com um diff avançado na aba "Arquivos alterados" de uma solicitação de pull. A revisão de dependências informa você:

  • Quais dependências foram adicionadas, removidas ou atualizadas, junto com as datas de versão.
  • Quantos projetos usam esses componentes.
  • Dados de vulnerabilidade para essas dependências.

Para obter mais informações, confira "Sobre a análise de dependência" e "Revendo alterações de dependência em um pull request."

Sobre a configuração da ação de revisão de dependência

O ação de revisão de dependência verifica as solicitações de pull em busca de alterações de dependência e gera um erro se as novas dependências têm vulnerabilidades conhecidas.

Para obter mais informações sobre a ação, confira a documentação dependency-review-action

As opções de configuração a seguir estão disponíveis.

OpçãoObrigatórioUso
fail-on-severityDefine o limite do nível de severidade (low, moderate, high e critical).
A ação falhará nas solicitações de pull que apresentarem vulnerabilidades no nível de severidade especificado ou superior.

Como configurar a ação de revisão de dependência

Há dois métodos de configuração da ação de revisão de dependência:

  • Integrar as opções de configuração no arquivo de fluxo de trabalho.
  • Fazer referência a um arquivo de configuração no arquivo de fluxo de trabalho.

Observe que todos os exemplos usam um número de versão curto para a ação (v3) em vez de um número de versão semver (por exemplo, v3.0.8). Isso garante que você use a versão secundária mais recente da ação.

Usar a configuração em linha para configurar a ação de revisão de dependência

  1. Adicione um fluxo de trabalho YAML à pasta .github/workflows.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
   runs-on: ubuntu-latest
     steps:
       - name: 'Checkout Repository'
         uses: actions/checkout@v3
       - name: Dependency Review
         uses: actions/dependency-review-action@v3

  2. Especifique suas configurações.

    Esse arquivo de exemplo de ação de revisão de dependência ilustra como usar as opções de configuração disponíveis.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
  runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v3
        with:
        # Possible values: "critical", "high", "moderate", "low"
        fail-on-severity: critical

        # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
        # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
        allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679

Usar um arquivo de configuração para configurar a ação de revisão de dependência

  1. Adicione um fluxo de trabalho YAML à pasta .github/workflows e use config-file para especificar que você está usando um arquivo de configuração.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
 contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v3
        with:
         # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
         # Possible values: An absolute path to a local file or an external file.
         config-file: './.github/dependency-review-config.yml'
         # Syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH
         config-file: 'github/octorepo/dependency-review-config.yml@main'

         # ([Token]) Use if your configuration file resides in a private external repository.
         # Possible values: Any GitHub token with read access to the private external repository.
         external-repo-token: 'ghp_123456789abcde'

  2. Crie o arquivo de configuração no caminho especificado.

    Esse arquivo de exemplo YAML ilustra como é possível usar as opções de configuração disponíveis.

    YAML
      # Possible values: "critical", "high", "moderate", "low"
  fail-on-severity: critical

   # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
   # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
  allow-ghsas:
    - GHSA-abcd-1234-5679
    - GHSA-efgh-1234-5679

    Para saber mais detalhes sobre as opções de configuração, confira dependency-review-action.