Skip to main content

在整个组织内强制实施依赖项审查

依赖项审查允许在将不安全的依赖项引入环境之前发现它们。 可以在整个组织中强制使用 依赖项审查操作。

谁可以使用此功能?

具有管理员角色的组织所有者、安全管理员和组织成员

关于依赖项审查强制实施

“依赖项审查操作”指的是可以在 GitHub Actions 上下文中报告拉取请求差异的具体操作。 请参阅 dependency-review-action。 可使用存储库中的 依赖项审查操作 对拉取请求强制实施依赖项审查。 该操作会扫描拉取请求中包版本更改引入的易受攻击的依赖项版本,并警告你相关的安全漏洞。 这样可以更好地了解拉取请求中发生的变化,并帮助防止漏洞添加到存储库中。 有关详细信息,请参阅 关于依赖项评审

可以通过设置存储库规则集来强制在组织中使用 依赖项审查操作,该规则集要求 dependency-review-action 工作流在合并拉取请求之前传递。 存储库规则集是规则设置,可用于控制用户如何与存储库中的所选分支和标记交互。 有关详细信息,请参阅 关于规则集要求在合并之前通过工作流

先决条件

需要将 依赖项审查操作 添加到组织中的某个存储库,并配置该操作。 有关详细信息,请参阅配置依赖项查看操作

为组织强制实施依赖项审查

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织旁边,单击“设置”。

  3. 在左侧边栏的“代码、规划和自动化”部分,单击“ 存储库”,然后单击“规则集”。********

    组织的设置页面的屏幕截图。 在边栏中,标有“规则集”的链接以橙色轮廓突出显示。

  4. 单击“新建分支规则集”。

  5. 将“强制状态”设置为 活动”。

  6. 可以选择针对组织中的特定存储库。 有关详细信息,请参阅选择要在组织中作为目标的仓库

  7. 在“规则”部分中,选择“要求在合并之前通过工作流”选项。

  8. 在“工作流配置”中,单击“添加工作流”。

  9. 在对话框中,选择要将 依赖项审查操作 添加到的存储库。 有关详细信息,请参阅先决条件

  10. 在增强对话框中选择分支和工作流文件进行依赖项审查。

    “添加所需工作流”对话框的屏幕截图。 需要指定存储库、分支和工作流。

  11. 单击“创建”。