Skip to main content

此版本的 GitHub Enterprise Server 已于以下日期停止服务 2024-09-25. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

配置依赖项评审操作

可以使用 依赖项审查操作 来捕获漏洞,以避免将其添加到项目中。

谁可以使用此功能?

具有管理员角色的存储库所有者、组织所有者、安全管理员和用户

关于 依赖项审查操作

“依赖项审查操作”指的是可以在 GitHub Actions 上下文中报告拉取请求差异,并在 GitHub Actions 工作流中添加执行机制的具体操作。

依赖项审查操作 扫描拉取请求,查看是否存在依赖项更改,如果有任何新的依赖项存在已知漏洞,则会引发错误。 API 终结点支持此操作,该终结点比较两个修订之间的依赖关系,并报告任何差异。

有关操作和 API 终结点的详细信息,请参阅 dependency-review-action 文档和“适用于依赖项评审的 REST API 终结点”。

下面是常见的配置选项列表。 有关详细信息和选项的完整列表,请参阅 GitHub Marketplace 上的依赖项评审

选项必选使用情况
fail-on-severity定义严重性级别(lowmoderatehighcritical)的阈值。
对于引入指定严重性级别或更高级别的漏洞的任何拉取请求,该操作都将失败。
fail-on-scopes包含一个字符串列表,这些字符串表示要支持的生成环境(developmentruntimeunknown)。
如果拉取请求引入与列表匹配的范围内的漏洞,此操作将会失败。
comment-summary-in-pr作为拉取请求中的注释启用或禁用审阅摘要报告。 如果启用,则必须向工作流或作业授予 pull-requests: write 权限。
allow-ghsas包含可在检测过程中跳过的 GitHub Advisory Database ID 列表。 可以在 GitHub Advisory Database 中找到此参数的可能值。
config-file指定配置文件的路径。 配置文件可以在存储库本地,也可以位于外部存储库中。
external-repo-token指定用于提取配置文件的令牌(如果该文件位于某个专用外部存储库中)。 该令牌必须具有该存储库的读取访问权限。

延伸阅读