Konfigurieren der Aktion zur Überprüfung von Abhängigkeiten

Sie können mit Abhängigkeitsüberprüfungsaktion Schwachstellen erkennen, bevor sie in Ihr Projekt gelangen.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Das "Abhängigkeitsüberprüfungsaktion" bezieht sich auf die spezifische Aktion, die über Unterschiede in einer Pullanforderung innerhalb des GitHub Actions Kontexts berichten kann. Sie kann dem GitHub Actions Workflow auch Durchsetzungsmechanismen hinzufügen. Weitere Informationen findest du unter Abhängigkeitsüberprüfung.

Eine Liste der allgemeinen Konfigurationsoptionen finden Sie in der Abhängigkeitsüberprüfung auf der GitHub Marketplace.

Konfigurieren von Abhängigkeitsüberprüfungsaktion

Es gibt zwei Methoden zum Konfigurieren der Abhängigkeitsüberprüfungsaktion:

  • Inlinekonfiguration der Konfigurationsoptionen in deiner Workflowdatei
  • Verweis auf eine Konfigurationsdatei in deiner Workflowdatei

Beachte, dass in allen Beispielen anstelle der SemVer-Versionsnummer (z. B. v3) eine kurze Versionsnummer für die Aktion verwendet wird (v3.0.8). Dadurch wird sichergestellt, dass du die neueste Nebenversion der Aktion verwendest.

Einrichten von Abhängigkeitsüberprüfungsaktion mithilfe der Inlinekonfiguration

  1. Füge deinem Ordner .github/workflows einen neuen YAML-Workflow hinzu.

Für runs-on lautet die Standardbezeichnung self-hosted. Sie können die Standardbezeichnung durch die Bezeichnung eines Ihrer Läufer ersetzen.

YAML
name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: [self-hosted]
    steps:
     - name: 'Checkout Repository'
       uses: actions/checkout@v6
     - name: Dependency Review
       uses: actions/dependency-review-action@v4

  1. Lege die Einstellungen fest.

    In dieser Abhängigkeitsüberprüfungsaktion Beispieldatei wird veranschaulicht, wie Sie die verfügbaren Konfigurationsoptionen verwenden können.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: [self-hosted]
    steps:
    - name: 'Checkout Repository'
      uses: actions/checkout@v6
    - name: Dependency Review
      uses: actions/dependency-review-action@v4
      with:
        # Possible values: "critical", "high", "moderate", "low"
        fail-on-severity: critical

        
        # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
        # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
        allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679
        # ([String]). Block pull requests that introduce vulnerabilities in the scopes that match this list (optional)
        # Possible values: "development", "runtime", "unknown"
        fail-on-scopes: development, runtime

Verwenden einer Konfigurationsdatei zum Einrichten von Abhängigkeitsüberprüfungsaktion

  1. Füge deinem Ordner .github/workflows einen neuen YAML-Workflow hinzu, und gib mithilfe von config-file an, dass du eine Konfigurationsdatei verwendest.

Für runs-on ist die Standardbezeichnung self-hosted. Sie können die Standardbezeichnung durch die Bezeichnung eines Ihrer Läufer ersetzen.

YAML
name: 'Dependency Review'
on: [pull_request]

permissions:
 contents: read

jobs:
  dependency-review:
    runs-on: [self-hosted]
    steps:
    - name: 'Checkout Repository'
      uses: actions/checkout@v6
    - name: Dependency Review
      uses: actions/dependency-review-action@v4
      with:
       # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
       # Possible values: An absolute path to a local file or an external file.
       config-file: './.github/dependency-review-config.yml'
       # Optional alternative syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH (uncomment if preferred)
       # config-file: 'github/octorepo/dependency-review-config.yml@main'

       # ([Token]) Use if your configuration file resides in a private external repository.
       # Possible values: Any GitHub token with read access to the private external repository.
       external-repo-token: 'ghp_123456789abcde'

  1. Erstelle die Konfigurationsdatei in dem von dir angegebenen Pfad.

    Diese YAML-Beispieldatei veranschaulicht, wie du die verfügbaren Konfigurationsoptionen verwenden kannst.

    YAML
      # Possible values: "critical", "high", "moderate", "low"
  fail-on-severity: critical

   # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
   # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
  allow-ghsas:
    - GHSA-abcd-1234-5679
    - GHSA-efgh-1234-5679
   # ([String]). Block pull requests that introduce vulnerabilities in the scopes that match this list (optional)
   # Possible values: "development", "runtime", "unknown"
  fail-on-scopes:
    - development
    - runtime

Weitere Einzelheiten zu den Konfigurationsoptionen findest du unter dependency-review-action.

Weiterführende Lektüre