Diese Version von GitHub Enterprise Server wird eingestellt am 2026-03-17. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Konfigurieren der Aktion zur Überprüfung von Abhängigkeiten

Mit der Aktion Abhängigkeitsüberprüfungsaktion kannst du Schwachstellen abfangen, bevor sie zu deinem Projekt hinzugefügt werden.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

„Abhängigkeitsüberprüfungsaktion“ bezieht sich auf die spezifische Aktion, die Unterschiede in einem Pull Request innerhalb des GitHub Actions-Kontext melden kann. Es kann auch Mechanismen zur Erzwingung in den GitHub Actions workflow integrieren. Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung.

Eine Liste gängiger Konfigurationsoptionen findest du unter Abhängigkeitsüberprüfung der GitHub Marketplace.

Konfigurieren des Abhängigkeitsüberprüfungsaktion

Es gibt zwei Methoden zum Konfigurieren des Abhängigkeitsüberprüfungsaktion:

  • Inlinekonfiguration der Konfigurationsoptionen in deiner Workflowdatei
  • Verweis auf eine Konfigurationsdatei in deiner Workflowdatei

Beachte, dass in allen Beispielen anstelle der SemVer-Versionsnummer (z. B. v3) eine kurze Versionsnummer für die Aktion verwendet wird (v3.0.8). Dadurch wird sichergestellt, dass du die neueste Nebenversion der Aktion verwendest.

Einrichten des Abhängigkeitsüberprüfungsaktion mithilfe der Inlinekonfiguration

  1. Füge deinem Ordner .github/workflows einen neuen YAML-Workflow hinzu.

    Für runs-on lautet die Standardbezeichnung self-hosted. Du kannst die Standardbezeichnung durch die Bezeichnung für einen beliebigen deiner Runner ersetzen.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: [self-hosted]
    steps:
     - name: 'Checkout Repository'
       uses: actions/checkout@v5
     - name: Dependency Review
       uses: actions/dependency-review-action@v4

  2. Lege die Einstellungen fest.

    Diese Beispieldatei für den Abhängigkeitsüberprüfungsaktion veranschaulicht, wie du die verfügbaren Konfigurationsoptionen verwenden kannst.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: [self-hosted]
    steps:
    - name: 'Checkout Repository'
      uses: actions/checkout@v5
    - name: Dependency Review
      uses: actions/dependency-review-action@v4
      with:
        # Possible values: "critical", "high", "moderate", "low"
        fail-on-severity: critical

        
        # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
        # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
        allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679
        # ([String]). Block pull requests that introduce vulnerabilities in the scopes that match this list (optional)
        # Possible values: "development", "runtime", "unknown"
        fail-on-scopes: development, runtime

Einrichten des Abhängigkeitsüberprüfungsaktion mithilfe einer Konfigurationsdatei

  1. Füge deinem Ordner .github/workflows einen neuen YAML-Workflow hinzu, und gib mithilfe von config-file an, dass du eine Konfigurationsdatei verwendest.

    Für runs-on lautet die Standardbezeichnung self-hosted. Du kannst die Standardbezeichnung durch die Bezeichnung für einen beliebigen deiner Runner ersetzen.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
 contents: read

jobs:
  dependency-review:
    runs-on: [self-hosted]
    steps:
    - name: 'Checkout Repository'
      uses: actions/checkout@v5
    - name: Dependency Review
      uses: actions/dependency-review-action@v4
      with:
       # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
       # Possible values: An absolute path to a local file or an external file.
       config-file: './.github/dependency-review-config.yml'
       # Optional alternative syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH (uncomment if preferred)
       # config-file: 'github/octorepo/dependency-review-config.yml@main'

       # ([Token]) Use if your configuration file resides in a private external repository.
       # Possible values: Any GitHub token with read access to the private external repository.
       external-repo-token: 'ghp_123456789abcde'

  2. Erstelle die Konfigurationsdatei in dem von dir angegebenen Pfad.

    Diese YAML-Beispieldatei veranschaulicht, wie du die verfügbaren Konfigurationsoptionen verwenden kannst.

    YAML
      # Possible values: "critical", "high", "moderate", "low"
  fail-on-severity: critical

   # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
   # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
  allow-ghsas:
    - GHSA-abcd-1234-5679
    - GHSA-efgh-1234-5679
   # ([String]). Block pull requests that introduce vulnerabilities in the scopes that match this list (optional)
   # Possible values: "development", "runtime", "unknown"
  fail-on-scopes:
    - development
    - runtime

Weitere Einzelheiten zu den Konfigurationsoptionen findest du unter dependency-review-action.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/customizing-your-dependency-review-action-configuration)