Configuração da revisão de dependência

Sobre a análise de dependência

Revisão de dependências ajuda você a entender as alterações de dependência e o impacto de segurança dessas alterações em cada pull request. Ele fornece uma visualização facilmente compreensível de mudanças de dependência, com um diff avançado na aba "Arquivos alterados" de uma solicitação de pull. A revisão de dependências informa você:

• Quais dependências foram adicionadas, removidas ou atualizadas, junto com as datas de versão.
• Quantos projetos usam esses componentes.
• Dados de vulnerabilidade para essas dependências.

Para obter mais informações, confira "Sobre a análise de dependência" e "Revendo alterações de dependência em um pull request."

Sobre a configuração da ação de revisão de dependência

O ação de revisão de dependência verifica as solicitações de pull em busca de alterações de dependência e gera um erro se as novas dependências têm vulnerabilidades conhecidas.

Para obter mais informações sobre a ação, confira a documentação dependency-review-action

As opções de configuração a seguir estão disponíveis.

Opção	Obrigatório	Uso
fail-on-severity		Define o limite do nível de severidade (low, moderate, high e critical). A ação falhará nas solicitações de pull que apresentarem vulnerabilidades no nível de severidade especificado ou superior.
allow-ghsas		Contém uma lista de IDs do GitHub Advisory Database que podem ser ignoradas durante a detecção. É possível encontrar os valores possíveis para este parâmetro no GitHub Advisory Database.
config-file		Especifica um caminho para um arquivo de configuração. O arquivo de configuração pode ser local em relação ao repositório ou estar em um repositório externo.

Como configurar a ação de revisão de dependência

Há dois métodos de configuração da ação de revisão de dependência:

• Integrar as opções de configuração no arquivo de fluxo de trabalho.
• Fazer referência a um arquivo de configuração no arquivo de fluxo de trabalho.

Observe que todos os exemplos usam um número de versão curto para a ação (v3) em vez de um número de versão semver (por exemplo, v3.0.8). Isso garante que você use a versão secundária mais recente da ação.

Usar a configuração em linha para configurar a ação de revisão de dependência

1. Adicione um fluxo de trabalho YAML à pasta .github/workflows.

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
     contents: read
   
   jobs:
     dependency-review:
      runs-on: ubuntu-latest
        steps:
        - name: 'Checkout Repository'
          uses: actions/checkout@v4
        - name: Dependency Review
          uses: actions/dependency-review-action@v3
   

2. Especifique suas configurações.

   Esse arquivo de exemplo de ação de revisão de dependência ilustra como usar as opções de configuração disponíveis.

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
     contents: read
   
   jobs:
     dependency-review:
     runs-on: ubuntu-latest
       steps:
       - name: 'Checkout Repository'
         uses: actions/checkout@v4
       - name: Dependency Review
         uses: actions/dependency-review-action@v3
         with:
           # Possible values: "critical", "high", "moderate", "low"
           fail-on-severity: critical
   
           
           # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
           # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
           allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679
           
   

Usar um arquivo de configuração para configurar a ação de revisão de dependência

1. Adicione um fluxo de trabalho YAML à pasta .github/workflows e use config-file para especificar que você está usando um arquivo de configuração.

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
    contents: read
   
   jobs:
     dependency-review:
       runs-on: ubuntu-latest
       steps:
       - name: 'Checkout Repository'
         uses: actions/checkout@v4
       - name: Dependency Review
         uses: actions/dependency-review-action@v3
         with:
          # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
          # Possible values: An absolute path to a local file or an external file.
          config-file: './.github/dependency-review-config.yml'
          # Syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH
          config-file: 'github/octorepo/dependency-review-config.yml@main'
   
          # ([Token]) Use if your configuration file resides in a private external repository.
          # Possible values: Any GitHub token with read access to the private external repository.
          external-repo-token: 'ghp_123456789abcde'
   

2. Crie o arquivo de configuração no caminho especificado.

   Esse arquivo de exemplo YAML ilustra como é possível usar as opções de configuração disponíveis.

   YAML

     # Possible values: "critical", "high", "moderate", "low"
     fail-on-severity: critical
   
      # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
      # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
     allow-ghsas:
       - GHSA-abcd-1234-5679
       - GHSA-efgh-1234-5679
   
   

Para saber mais detalhes sobre as opções de configuração, confira dependency-review-action.