Aplicación de la revisión de dependencias en una organización

La revisión de dependencias le permite capturar las dependencias no seguras antes de introducirlas en el entorno. Puede aplicar el uso de las variables de Acción de revisión de dependencias en toda la organización.

¿Quién puede utilizar esta característica?

Propietarios de la organización, administradores de seguridad y miembros de la organización con el rol de administrador

En este artículo

Acerca de la aplicación de la revisión de dependencias

Los propietarios de la empresa y los usuarios con acceso de administrador a un repositorio pueden agregar Acción de revisión de dependencias a su empresa y repositorio, respectivamente.

La "Acción de revisión de dependencias" hace referencia a la acción específica que puede informar sobre las diferencias en una solicitud de cambios dentro del contexto de GitHub Actions. Vea dependency-review-action. Puedes usar Acción de revisión de dependencias en el repositorio para aplicar revisiones de dependencias en las solicitudes de incorporación de cambios. La acción analiza las versiones vulnerables de las dependencias introducidas por los cambios de versión del paquete en las solicitudes de incorporación de cambios y le advierte sobre las vulnerabilidades de seguridad asociadas. Esto proporciona una mejor visibilidad de los cambios en una solicitud de incorporación de cambios y ayuda a evitar que se agreguen vulnerabilidades al repositorio. Para obtener más información, consulte Acerca de la revisión de dependencias.

Puede aplicar el uso de Acción de revisión de dependencias en su organización configurando un conjunto de reglas de repositorio que requerirá que se pase el flujo de trabajo dependency-review-action antes de que se puedan combinar las solicitudes de incorporación de cambios. Los conjuntos de reglas de repositorio son configuraciones de reglas que le permiten controlar cómo los usuarios pueden interactuar con ramas y etiquetas seleccionadas en sus repositorios. Para obtener más información, consulte Acerca de los conjuntos de reglas y Requerir que los flujos de trabajo pasen antes de la combinación.

Prerrequisitos

Debe agregar Acción de revisión de dependencias a uno de los repositorios de la organización y configurar la acción. Para obtener más información, consulte Configuración de la acción de revisión de dependencias.

Aplicación de la revisión de dependencias para su organización

  1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

  2. Junto a la organización, haga clic en Settings.

  3. En la barra lateral de la izquierda, en la sección "Code, planning, and automation", haz clic en Repository y luego en Rulesets.

    Captura de pantalla de la página de configuración de una organización. En la barra lateral, aparece un vínculo etiquetado como "Conjuntos de reglas" con un contorno naranja.

  4. Haz clic en el menú desplegable Nuevo conjunto de reglas y selecciona Nuevo conjunto de reglas de rama.

  5. Para ayudar a identificar el conjunto de reglas y aclarar su propósito, asigna al conjunto de reglas un nombre en Nombre del conjunto de reglas.

  6. Establece Enforcement status en Active.

  7. Opcionalmente, puede dirigirse a repositorios específicos de su organización. Para obtener más información, consulte Cómo elegir los repositorios a los que dirigirse en su organización.

  8. En la sección "Reglas", seleccione la opción "Requerir que se pasen los flujos de trabajo antes de combinar".

  9. En "Configuraciones de flujo de trabajo", haga clic en Agregar flujo de trabajo.

  10. En el cuadro de diálogo, seleccione el repositorio al que agregó Acción de revisión de dependencias. Para obtener más información, consulte Requisitos previos.

  11. Seleccione una rama y el archivo de flujo de trabajo para la revisión de dependencias en el cuadro de diálogo mejorado.

    Captura de pantalla del cuadro de diálogo Agregar flujo de trabajo necesario. Debe especificar un repositorio, una rama y un flujo de trabajo.

  12. Haga clic en Crear.