关于依赖项评审

依赖项审查帮助您了解依赖项变化以及这些变化在每个拉取请求中的安全影响。它提供了一个易于理解的依赖项变化可视化效果，多差异显示在拉取请求的“更改的文件”选项卡上。依赖项审查告知您：

如果拉取请求针对仓库的默认分支并且包含对包清单或锁定文件的更改，您可以显示依赖项审查以查看更改的内容。依赖项审查包括对锁定文件中间接依赖项的更改详情，并告诉您任何已添加或更新的依赖项是否包含已知漏洞。

有时，您可能只想更新清单中一个依赖项的版本并生成拉取请求。但是，如果此直接依赖项的更新版本也更新了依赖项，则拉取请求的更改可能超过您的预期。每个清单和锁定文件的依赖项审查提供了一种简单的方法来查看更改的内容，以及任何新的依赖项版本是否包含已知的漏洞。

通过检查拉取请求中的依赖项审查并更改被标记为有漏洞的任何依赖项，可以避免将漏洞添加到项目中。有关依赖项评审工作方式的详细信息，请参阅“审查拉取请求中的依赖项更改”。

有关配置依赖项评审的详细信息，请参阅“配置依赖项审查”。

Dependabot alerts 将会查找依赖项中存在的漏洞，但避免引入潜在问题比在以后修复它们要好得多。有关 Dependabot alerts 的详细信息，请参阅“关于 Dependabot 警报”。

依赖项审查支持与依赖关系图相同的语言和包管理生态系统。有关详细信息，请参阅“关于依赖关系图”。

有关 GitHub Enterprise Server 上提供的供应链功能的详细信息，请参阅“关于供应链安全性”。

启用依赖项审查

启用依赖关系图时，依赖项审查功能可用。有关详细信息，请参阅“为企业启用依赖项关系图”。