About dependency review
Проверка зависимостей помогает разобраться в изменениях зависимостей и понять их влияние на безопасность в каждом запросе на вытягивание. Она обеспечивает легко понятную визуализацию изменений зависимостей с широкими возможностями на вкладке "Измененные файлы" запроса на вытягивание. Функция проверки зависимостей позволяет получить следующую информацию:
- Добавленные, удаленные и обновленные зависимости, а также даты их выпуска.
- Количество проектов, в которых используются эти компоненты.
- Данные об уязвимостях для этих зависимостей.
Some additional features, such as license checks, blocking of pull requests, and CI/CD integration, are available with the dependency review action.
Checking whether your license includes GitHub Advanced Security
Вы можете определить, есть ли у вашей организации лицензия на GitHub Advanced Security, просмотрев параметры организации. Дополнительные сведения см. в разделе Enabling GitHub Advanced Security for your enterprise.
Prerequisites for dependency review
-
A license for GitHub Advanced Security (see "Сведения о выставлении счетов для GitHub Advanced Security").
-
The dependency graph enabled for the instance. Site administrators can enable the dependency graph via the management console or the administrative shell (see "Enabling the dependency graph for your enterprise").
-
GitHub Connect enabled to download and synchronize vulnerabilities from the GitHub Advisory Database. This is usually configured as part of setting up Dependabot (see "Enabling Dependabot for your enterprise").
Enabling and disabling dependency review
To enable or disable dependency review, you need to enable or disable the dependency graph for your instance.
For more information, see "Enabling the dependency graph for your enterprise."
Running dependency review using GitHub Actions
Примечание. в настоящее время находится в общедоступной бета-версии и подлежит изменению.
The dependency review action is included in your installation of GitHub Enterprise Server. It is available for all repositories that have GitHub Advanced Security and dependency graph enabled.
Действие проверки зависимостей сканирует запросы на вытягивание изменений зависимостей и вызывает ошибку, если какие-либо новые зависимости имеют известные уязвимости. Для этого действие использует конечную точку API, которая сравнивает зависимости между двумя редакциями и сообщает о любых различиях.
Дополнительные сведения о действии и конечной точке API см. в dependency-review-action документации и autoTITLE.
Users run the dependency review action using a GitHub Actions workflow. If you have not already set up runners for GitHub Actions, you must do this to enable users to run workflows. You can provision self-hosted runners at the repository, organization, or enterprise account level. For information, see "О самостоятельно размещенных средствах выполнения" and "Добавление локальных средств выполнения."