关于依赖项评审
依赖项审查帮助您了解依赖项变化以及这些变化在每个拉取请求中的安全影响。 它提供了一个易于理解的依赖项变化可视化效果,多差异显示在拉取请求的“更改的文件”选项卡上。 依赖项审查告知您:
- 与发行日期一起添加、删除或更新的依赖项有哪些
- 有多少项目使用这些组件
- 这些依赖项的漏洞数据
如果拉取请求包含对程序包清单或锁定文件的更改,则可以显示依赖项审查以查看更改的内容。 依赖项审查包括对锁定文件中间接依赖项的更改详情,并告诉您任何已添加或更新的依赖项是否包含已知漏洞。
Note
“依赖项审查操作”指的是可以在 GitHub Actions 上下文中报告拉取请求差异,并在 GitHub Actions 工作流中添加执行机制的具体操作。 有关详细信息,请参阅本文后面的 依赖项审查操作。
有时,您可能只想更新清单中一个依赖项的版本并生成拉取请求。 但是,如果此直接依赖项的更新版本也更新了依赖项,则拉取请求的更改可能超过您的预期。 每个清单和锁定文件的依赖项审查提供了一种简单的方法来查看更改的内容,以及任何新的依赖项版本是否包含已知的漏洞。
通过检查拉取请求中的依赖项审查并更改被标记为有漏洞的任何依赖项,可以避免将漏洞添加到项目中。 有关依赖项评审工作方式的详细信息,请参阅 审查拉取请求中的依赖项更改。
Dependabot alerts 将会查找依赖项中存在的漏洞,但避免引入潜在问题比在以后修复它们要好得多。 有关 Dependabot alerts 的详细信息,请参阅 关于 Dependabot 警报。
依赖项审查支持与依赖关系图相同的语言和包管理生态系统。 有关详细信息,请参阅“依赖项关系图支持的包生态系统”。
有关 GitHub 上提供的供应链功能的详细信息,请参阅 关于供应链安全性。
启用依赖项审查
启用依赖关系图时,依赖项审查功能可用。 有关详细信息,请参阅“为企业启用依赖项关系图”。
关于 依赖项审查操作
“依赖项审查操作”指的是可以在 GitHub Actions 上下文中报告拉取请求差异的具体操作。 请参阅 dependency-review-action。 可使用存储库中的 依赖项审查操作 对拉取请求强制实施依赖项审查。 该操作会扫描拉取请求中包版本更改引入的易受攻击的依赖项版本,并警告你相关的安全漏洞。 这样可以更好地了解拉取请求中发生的变化,并帮助防止漏洞添加到存储库中。
默认情况下,如果 依赖项审查操作 检查发现任何易受攻击的包,它将失败。 当存储库所有者需要依赖项审查检查才能通过时,失败的检查将阻止拉取请求合并。 有关详细信息,请参阅“关于受保护分支”。
该操作适用于所有 存储库。
企业所有者和对存储库具有管理员访问权限的人员可以分别将依赖项审查操作添加到其企业和存储库。
该操作使用依赖关系审查 REST API 来获取基本提交和头提交之间的依赖关系更改差异。 可以使用依赖关系审查 API 获取存储库上任意两个提交之间的依赖关系更改(包括漏洞数据)的差异。 有关详细信息,请参阅 适用于依赖项评审的 REST API 终结点。