Informationen zur Abhängigkeitsüberprüfung
Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:
- Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Releasedaten
- Wie viele Projekte diese Komponenten verwenden
- Sicherheitsrisikodaten für diese Abhängigkeiten
Einige zusätzliche Features, wie z. B. Lizenzüberprüfungen, das Blockieren von Pullanforderungen und die CI/CD-Integration, stehen mit der Aktion zum Überprüfen von Abhängigkeiten zur Verfügung.
Überprüfen, ob Ihre Lizenz Advanced Security enthält.
Sie können ermitteln, ob Ihr Unternehmen über eine Lizenz für Advanced Security Produkte verfügt, indem Sie Ihre Unternehmenseinstellungen überprüfen. Weitere Informationen finden Sie unter Aktivieren von GitHub Advanced Security-Produkten für Ihr Unternehmen.
Voraussetzungen für die Abhängigkeitsüberprüfung
-
Eine Lizenz für GitHub Code Security oder GitHub Advanced Security (siehe GitHub Advanced Security Lizenzabrechnung).
-
Das für die Instanz aktivierte Abhängigkeitsdiagramm. Siteadministratoren können das Abhängigkeitsdiagramm über die Verwaltungskonsole oder die Verwaltungsshell aktivieren (siehe Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen).
-
GitHub Connect aktiviert, um Sicherheitsrisiken aus der GitHub Advisory DatabaseDatei herunterzuladen und zu synchronisieren. Dies wird üblicherweise bei der Einrichtung von Dependabot konfiguriert (siehe Aktivieren von Dependabot für dein Unternehmen).
Aktivieren und Deaktivieren der Abhängigkeitsüberprüfung
Um die Abhängigkeitsüberprüfung zu aktivieren oder zu deaktivieren, musst du das Abhängigkeitsdiagramm für deine Instanz aktivieren oder deaktivieren.
Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen.
Ausführen der Abhängigkeitsüberprüfung mithilfe von GitHub Actions
Hinweis
Die Abhängigkeitsüberprüfungsaktion liegt derzeit als Öffentliche Vorschau vor. Änderungen sind vorbehalten.
Die Aktion zur Überprüfung von Abhängigkeiten ist in Ihrer Installation von GitHub Enterprise Server enthalten. Es ist für alle Repositorys verfügbar, die GitHub Code Security bzw. GitHub Advanced Security haben und für die das Abhängigkeitsdiagramm aktiviert ist.
Die Abhängigkeitsüberprüfungsaktion prüft deine Pull Requests auf Änderungen bei Abhängigkeiten und gibt einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.
Weitere Informationen zur Aktion und zum API-Endpunkt findest du in der Dokumentation dependency-review-action und unter REST-API-Endpunkte für die Abhängigkeitsüberprüfung.
Benutzer führen die Abhängigkeitsüberprüfungsaktion mithilfe eines GitHub Actions Workflows aus. Wenn Sie für GitHub Actions noch keine Runner eingerichtet haben, müssen Sie dies tun, damit Benutzer Workflows ausführen können. Du kannst selbstgehostete Runner auf Repository-, Organisations- oder Unternehmenskontoebene bereitstellen. Informationen dazu findest du unter Selbstgehosteten Runnern und Selbst-gehostete Runner hinzufügen.