Проверка изменений зависимостей в запросе на вытягивание

Если запрос на вытягивание содержит изменения зависимостей, можно просмотреть сводку изменений, чтобы узнать о наличии известных уязвимостей в любой из зависимостей.

Кто может использовать эту функцию?

Проверка зависимостей доступна для принадлежащих организациям репозиториев в GitHub Enterprise Server. Для этой функции требуется лицензия на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

В этой статье

Сведения о проверке зависимостей

Проверка зависимостей помогает разобраться в изменениях зависимостей и понять их влияние на безопасность в каждом запросе на вытягивание. Она обеспечивает легко понятную визуализацию изменений зависимостей с широкими возможностями на вкладке "Измененные файлы" запроса на вытягивание. Функция проверки зависимостей позволяет получить следующую информацию:

  • Добавленные, удаленные и обновленные зависимости, а также даты их выпуска.
  • Количество проектов, в которых используются эти компоненты.
  • Данные об уязвимостях для этих зависимостей.

Прежде чем использовать проверку зависимостей, необходимо включить граф зависимостей и подключить ваш экземпляр GitHub Enterprise Server к GitHub.com. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".

Проверка зависимостей позволяет осуществлять "сдвиг влево". С помощью полученной прогнозной информации можно устранять уязвимости в зависимостях перед их попаданием в рабочую среду. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

С помощью Действие проверки зависимостей можно применить проверки зависимостей на запросы на вытягивание в репозитории. Действие проверки зависимостей сканирует запросы на вытягивание изменений зависимостей и вызывает ошибку, если какие-либо новые зависимости имеют известные уязвимости. Для этого действие использует конечную точку API, которая сравнивает зависимости между двумя редакциями и сообщает о любых различиях.

Дополнительные сведения о действии и конечной точке API см. в dependency-review-action документации и autoTITLE.

Можно настроить переменные данных для лучшего соответствия вашим потребностям, указав тип уязвимости зависимостей, которую вы хотите поймать. Дополнительные сведения см. в разделе Настройка проверки зависимостей.

Проверка зависимостей в запросе на вытягивание

  1. В поле имени репозитория щелкните Запросы на вытягивание.

    Снимок экрана: главная страница репозитория. На горизонтальной панели навигации вкладка с меткой "Запросы на вытягивание" выделена темно-оранжевым цветом.

  2. В списке запросов на вытягивание выберите запрос на вытягивание, который вы хотите просмотреть.

  3. В запросе на вытягивание щелкните Файлы изменены.

    Снимок экрана: вкладки для запроса на вытягивание. Вкладка "Измененные файлы" выделена темно-оранжевым цветом.

  4. Если запрос на вытягивание содержит много файлов, используйте раскрывающееся меню Фильтр файлов, чтобы свернуть все файлы, для которых не регистрируются зависимости. Это позволит сосредоточиться на изменениях зависимостей.

    Снимок экрана: вкладка "Измененные файлы". Раскрывающийся список с меткой "Фильтр файлов" развернут, отображающий список типов файлов с флажками.
    Проверка зависимостей предоставляет более четкое представление о том, что изменилось в больших файлах блокировки, где исходный дифф по умолчанию не отображается.

    Примечание. Расширенные различия при проверке зависимостей недоступны для зафиксированных статических файлов JavaScript, таких как jquery.js.

  5. Справа от заголовка для файла манифеста или блокировки отобразите проверку зависимостей, щелкнув .

    Снимок экрана: вкладка "Измененные файлы" запроса на вытягивание. Кнопка для отображения форматированного диффа, помеченная значком файла, описана в темно-оранжевый цвет.

  6. Проверьте зависимости, перечисленные в проверке зависимостей.

    Снимок экрана: предупреждения об уязвимостях в проверке зависимостей для запроса на вытягивание.

    Все добавленные или измененные зависимости с уязвимостями приводятся в начале списка и упорядочены сначала по степени серьезности, а затем по имени зависимости. Это означает, что зависимости с наивысшей степенью серьезности всегда находятся вверху списка проверки зависимостей. Другие зависимости перечислены в алфавитном порядке по именам.

    Значок рядом с каждой зависимостью указывает, была ли зависимость добавлена (), обновлена () или удалена () в этом запросе на вытягивание.

    Помимо этого, включаются следующие сведения:

    • версия или диапазон версий новой, обновленной или удаленной зависимости;
    • для определенной версии зависимости:
      • возраст этого выпуска зависимости;
      • количество проектов, зависящих от этого программного обеспечения; эти сведения берутся из графа зависимостей; проверка количества зависимых проектов может помочь избежать случайного добавления неправильной зависимости;
      • лицензия, используемая этой зависимостью, если эта информация доступна. Она полезна, если вы хотите избежать использования в проекте кода с определенными лицензиями.

    Если зависимость имеет известную уязвимость, в предупреждающее сообщение включаются следующие сведения:

    • краткое описание уязвимости;
    • идентификационный номер CVE (распространенные уязвимости) или GitHub Security Advisories (GHSA); щелкнув этот идентификатор, можно узнать больше об уязвимости;
    • степень серьезности уязвимости;
    • версия зависимости, в которой уязвимость была устранена. Если вы проверяете запрос на вытягивание для кого-либо, то можете попросить участника обновить зависимость до исправленной версии или более позднего выпуска.

  7. Кроме того, может потребоваться просмотреть отличия от источника, так как в файле манифеста или блокировок могут быть изменения, не затрагивающие зависимости, или зависимости, которые не могут быть проанализированы GitHub и поэтому не включаются в проверку зависимостей.

    Чтобы вернуться к исходному представлению диффа, нажмите кнопку button.

    Снимок экрана: вкладка "Измененные файлы" запроса на вытягивание. Кнопка для отображения исходного диффа, помеченного значком кода, описывается темно-оранжевым цветом.