Skip to main content

在整个组织内强制实施依赖项审查

依赖项审查允许在将不安全的依赖项引入环境之前发现它们。 可以在整个组织中强制使用 依赖项审查操作。

谁可以使用此功能?

Organization owners can enforce use of the 依赖项审查操作 in repositories within their organization.

依赖项评审可用于 GitHub Enterprise Server 中的组织拥有的存储库。 此功能需要 GitHub Advanced Security 的许可证。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

关于依赖项审查强制实施

企业所有者和对存储库具有管理员访问权限的人员可以分别将依赖项审查操作添加到其企业和存储库。

可以使用存储库中的 dependency-review-action 对拉取请求强制措施依赖项执行评审。 该操作会扫描拉取请求中包版本更改引入的易受攻击的依赖项版本,并警告你相关的安全漏洞。 这样可以更好地了解拉取请求中发生的变化,并帮助防止漏洞添加到存储库中。 有关详细信息,请参阅“关于依赖项评审

可以通过设置存储库规则集来强制在组织中使用 依赖项审查操作,该规则集要求 dependency-review-action 工作流在合并拉取请求之前传递。 存储库规则集是规则设置,可用于控制用户如何与存储库中的所选分支和标记交互。 有关详细信息,请参阅“AUTOTITLE和“要求在合并之前通过工作流”。

先决条件

需要将 依赖项审查操作 添加到组织中的某个存储库,并配置该操作。 有关详细信息,请参阅“配置依赖项查看操作”。

为组织强制实施依赖项审查

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击“你的组织”。

  2. 在组织旁边,单击“设置”。

  3. 在左侧边栏的“代码、规划和自动化”部分,单击“ 存储库”,然后单击“规则集”。********

    组织的设置页面的屏幕截图。 在边栏中,标有“规则集”的链接以橙色轮廓突出显示。

  4. 单击“新建分支规则集”。

  5. 将“强制状态”设置为 活动”。

  6. 可以选择针对组织中的特定存储库。 有关详细信息,请参阅“选择要在组织中作为目标的存储库”。

  7. 在“规则”部分中,选择“要求在合并之前通过工作流”选项。

  8. 在“工作流配置”中,单击“添加工作流”。

  9. 在对话框中,选择要将 依赖项审查操作 添加到的存储库。 有关详细信息,请参阅“先决条件”。

  10. 在增强对话框中选择分支和工作流文件进行依赖项审查。

    “添加所需工作流”对话框的屏幕截图。 需要指定存储库、分支和工作流。

  11. 单击“创建”。