配置依赖项审查

关于依赖项评审

依赖项审查帮助您了解依赖项变化以及这些变化在每个拉取请求中的安全影响。 它提供了一个易于理解的依赖项变化可视化效果，多差异显示在拉取请求的“更改的文件”选项卡上。 依赖项审查告知您：

• 哪些依赖项连同发行日期一起添加、删除或更新。
• 有多少项目使用这些组件。
• 这些依赖项的漏洞数据。

有关详细信息，请参阅“关于依赖项评审”和“审查拉取请求中的依赖项更改”。

关于配置 依赖项审查操作

依赖项审查操作 扫描拉取请求中的依赖项更改，如果有任何新的依赖项存在已知漏洞，则会引发错误。

有关操作的详细信息，请参阅 dependency-review-action 文档

可用配置选项如下。

选项	必选	使用情况
fail-on-severity		定义严重性级别（low、moderate、high、critical）的阈值。 对于引入指定严重性级别或更高级别的漏洞的任何拉取请求，该操作都将失败。

配置 依赖项审查操作

可通过两种方法配置 依赖项审查操作：

• 在工作流文件中内联配置选项。
• 在工作流文件中引用配置文件。

请注意，所有示例使用操作 (v3) 的短版本号，而不是 semver 版本号（例如，v3.0.8）。 这可确保使用操作的最新次要版本。

使用内联配置来设置 依赖项审查操作

1. 将新的 YAML 工作流添加到 .github/workflows 文件夹。

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
     contents: read
   
   jobs:
     dependency-review:
      runs-on: ubuntu-latest
        steps:
          - name: 'Checkout Repository'
            uses: actions/checkout@v3
          - name: Dependency Review
            uses: actions/dependency-review-action@v3

2. 指定您的设置。

   此 依赖项审查操作 示例文件说明了如何使用可用的配置选项。

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
     contents: read
   
   jobs:
     dependency-review:
     runs-on: ubuntu-latest
       steps:
         - name: 'Checkout Repository'
           uses: actions/checkout@v3
         - name: Dependency Review
           uses: actions/dependency-review-action@v3
           with:
           # Possible values: "critical", "high", "moderate", "low"
           fail-on-severity: critical
   
           # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
           # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
           allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679
   

使用配置文件来设置 依赖项审查操作

1. 将新的 YAML 工作流添加到 .github/workflows 文件夹，并使用 config-file 指定正在使用配置文件。

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
    contents: read
   
   jobs:
     dependency-review:
       runs-on: ubuntu-latest
       steps:
         - name: 'Checkout Repository'
           uses: actions/checkout@v3
         - name: Dependency Review
           uses: actions/dependency-review-action@v3
           with:
            # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
            # Possible values: An absolute path to a local file or an external file.
            config-file: './.github/dependency-review-config.yml'
            # Syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH
            config-file: 'github/octorepo/dependency-review-config.yml@main'
   
            # ([Token]) Use if your configuration file resides in a private external repository.
            # Possible values: Any GitHub token with read access to the private external repository.
            external-repo-token: 'ghp_123456789abcde'

2. 在指定路径中创建配置文件。

   此 YAML 示例文件说明了如何使用可用的配置选项。

   YAML

     # Possible values: "critical", "high", "moderate", "low"
     fail-on-severity: critical
   
      # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
      # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
     allow-ghsas:
       - GHSA-abcd-1234-5679
       - GHSA-efgh-1234-5679
   

   有关配置选项的更多详细信息，请参阅 dependency-review-action。