关于依赖项评审
依赖项审查帮助您了解依赖项变化以及这些变化在每个拉取请求中的安全影响。 它提供了一个易于理解的依赖项变化可视化效果,多差异显示在拉取请求的“更改的文件”选项卡上。 依赖项审查告知您:
- 哪些依赖项连同发行日期一起添加、删除或更新。
- 有多少项目使用这些组件。
- 这些依赖项的漏洞数据。
依赖项评审操作提供了一些附加功能,例如许可证检查、拉取请求阻止和 CI/CD 集成。
检查您的许可是否包含 GitHub Advanced Security
可通过查看企业设置来识别企业是否具有 GitHub Advanced Security 许可证。 有关详细信息,请参阅“为企业启用 GitHub 高级安全性”。
依赖项评审的先决条件
-
GitHub Advanced Security 的许可证(请参阅“关于 GitHub 高级安全的计费”)。
-
为实例启用了依赖项关系图。 站点管理员可以通过管理控制台或管理 shell 启用依赖项关系图(请参阅“为企业启用依赖项关系图”)。
-
启用了 GitHub Connect,以从 GitHub Advisory Database 下载和同步漏洞。 这通常在设置 Dependabot 的过程中进行配置(请参阅“为企业启用 Dependabot”)。
启用和禁用依赖项评审
若要启用或禁用依赖项评审,需要启用或禁用实例的依赖项关系图。
有关详细信息,请参阅“为企业启用依赖项关系图”。
使用 GitHub Actions 运行依赖项评审
注意:依赖项审查操作 目前为公开 beta 版本,可能会有变动。
依赖项评审操作包含在 GitHub Enterprise Server 安装中。 它适用于所有启用了 GitHub Advanced Security 和依赖项关系图的存储库。
依赖项审查操作 扫描拉取请求,查看是否存在依赖项更改,如果有任何新的依赖项存在已知漏洞,则会引发错误。 API 终结点支持此操作,该终结点比较两个修订之间的依赖关系,并报告任何差异。
有关操作和 API 终结点的详细信息,请参阅 dependency-review-action
文档和“适用于依赖项评审的 REST API 终结点”。
用户使用 GitHub Actions 工作流运行依赖项评审操作。 如果尚没有为 GitHub Actions 设置运行器,则必须执行此操作才能使用户可运行工作流。 您可以在仓库、组织或企业帐户级别预配自托管运行器。 有关信息,请参阅“关于自托管运行程序”和“添加自托管的运行器”。