Configuración de la acción de revisión de dependencias

Puede usar la Acción de revisión de dependencias para detectar las vulnerabilidades antes de que se agreguen a su proyecto.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

La "Acción de revisión de dependencias" hace referencia a la acción específica que puede informar sobre las diferencias en una solicitud de incorporación de cambios dentro del contexto de GitHub Actions. También puede agregar mecanismos de cumplimiento al flujo de trabajo de GitHub Actions. Para más información, consulta Acerca de la revisión de dependencias.

Para obtener una lista de las opciones de configuración comunes, consulte Revisión de dependencias en GitHub Marketplace.

Configuración de la Acción de revisión de dependencias

Hay dos métodos para configurar la Acción de revisión de dependencias:

  • Insertar las opciones de configuración en el archivo de flujo de trabajo.
  • Hacer referencia a un archivo de configuración en el archivo de flujo de trabajo.

Observa que en todos los ejemplos se usa un número de versión corto para la acción (v3) en lugar de un número de versión SemVer (por ejemplo, v3.0.8). Esto garantiza que uses la versión secundaria más reciente de la acción.

Uso de la configuración insertada para configurar la Acción de revisión de dependencias

  1. Agrega un nuevo flujo de trabajo YAML a la carpeta .github/workflows.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
     - name: 'Checkout Repository'
       uses: actions/checkout@v5
     - name: Dependency Review
       uses: actions/dependency-review-action@v4

  2. Especifique su configuración.

    En este archivo de ejemplo de la Acción de revisión de dependencias se muestra cómo se pueden usar las opciones de configuración disponibles.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
    - name: 'Checkout Repository'
      uses: actions/checkout@v5
    - name: Dependency Review
      uses: actions/dependency-review-action@v4
      with:
        # Possible values: "critical", "high", "moderate", "low"
        fail-on-severity: critical

        
        # You can only include one of these two options: `allow-licenses` and `deny-licenses`
        # ([String]). Only allow these licenses (optional)
        # Possible values: Any SPDX-compliant license identifiers or expressions from https://spdx.org/licenses/
        allow-licenses: GPL-3.0, BSD-3-Clause, MIT
        # ([String]). Block the pull request on these licenses (optional)
        # Possible values: Any SPDX-compliant license identifiers or expressions from https://spdx.org/licenses/
        deny-licenses: LGPL-2.0, BSD-2-Clause
        
        # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
        # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
        allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679
        # ([String]). Block pull requests that introduce vulnerabilities in the scopes that match this list (optional)
        # Possible values: "development", "runtime", "unknown"
        fail-on-scopes: development, runtime

Uso de un archivo de configuración para configurar la Acción de revisión de dependencias

  1. Agrega un nuevo flujo de trabajo YAML a la carpeta .github/workflows y usa config-file para especificar que usas un archivo de configuración.

    YAML
    name: 'Dependency Review'
on: [pull_request]

permissions:
 contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
    - name: 'Checkout Repository'
      uses: actions/checkout@v5
    - name: Dependency Review
      uses: actions/dependency-review-action@v4
      with:
       # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
       # Possible values: An absolute path to a local file or an external file.
       config-file: './.github/dependency-review-config.yml'
       # Optional alternative syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH (uncomment if preferred)
       # config-file: 'github/octorepo/dependency-review-config.yml@main'

       # ([Token]) Use if your configuration file resides in a private external repository.
       # Possible values: Any GitHub token with read access to the private external repository.
       external-repo-token: 'ghp_123456789abcde'

  2. Crea el archivo de configuración en la ruta de acceso especificada.

    En este archivo de ejemplo YAML se ilustra cómo puedes usar las opciones de configuración disponibles.

    YAML
      # Possible values: "critical", "high", "moderate", "low"
  fail-on-severity: critical

  # You can only include one of these two options: `allow-licenses` and `deny-licenses`
  # ([String]). Only allow these licenses (optional)
  # Possible values: Any SPDX-compliant license identifiers or expressions from https://spdx.org/licenses/
  allow-licenses:
    - GPL-3.0
    - BSD-3-Clause
    - MIT
   # ([String]). Block the pull request on these licenses (optional)
   # Possible values: Any SPDX-compliant license identifiers or expressions from https://spdx.org/licenses/
  deny-licenses:
    - LGPL-2.0
    - BSD-2-Clause

   # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
   # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
  allow-ghsas:
    - GHSA-abcd-1234-5679
    - GHSA-efgh-1234-5679
   # ([String]). Block pull requests that introduce vulnerabilities in the scopes that match this list (optional)
   # Possible values: "development", "runtime", "unknown"
  fail-on-scopes:
    - development
    - runtime

Para obtener más información sobre las opciones de configuración, consulte dependency-review-action.

Lectura adicional

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/customizing-your-dependency-review-action-configuration)