Acerca de la Acción de revisión de dependencias
La "Acción de revisión de dependencias" hace referencia a la acción específica que puede informar sobre las diferencias en una solicitud de cambios dentro del contexto de GitHub Actions y agregar mecanismos de cumplimiento al flujo de trabajo de GitHub Actions.
La Acción de revisión de dependencias examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.
Para más información sobre la acción y el punto de conexión de API, consulta la documentación de dependency-review-action y Puntos de conexión de la API de REST para la revisión de dependencias.
Los propietarios de la organización pueden implementar la revisión de dependencias a escala aplicando el uso de las variables de Acción de revisión de dependencias en los repositorios de la organización. Esto implica el uso de conjuntos de reglas de repositorio para los que establecerá las variables de Acción de revisión de dependencias como un flujo de trabajo necesario, lo que significa que las solicitudes de incorporación de cambios solo se pueden combinar una vez que el flujo de trabajo pasa todas las comprobaciones necesarias. Para más información, consulta Aplicación de la revisión de dependencias en una organización.
Esta es una lista de las opciones de configuración comunes. Para obtener más información y una lista completa de opciones, vea Revisión de dependencias en GitHub Marketplace.
| Opción | Obligatorio | Usage |
|---|---|---|
fail-on-severity | Define el umbral del nivel de gravedad (low, moderate, high y critical).La acción generará un error en las solicitudes de incorporación de cambios que introduzcan vulnerabilidades del nivel de gravedad especificado o superior. | |
fail-on-scopes | Contiene una lista de cadenas que representan los entornos de compilación que desea admitir (development, runtime, unknown). La acción producirá un error en las solicitudes de incorporación de cambios que introducen vulnerabilidades en los ámbitos que coinciden con la lista. | |
comment-summary-in-pr | Habilite o deshabilite los informes del resumen de revisión como comentario en la solicitud de incorporación de cambios. Si está habilitado, debe conceder al flujo de trabajo o al trabajo el permiso pull-requests: write. Con cada ejecución, un nuevo comentario sobrescribirá el existente. | |
allow-ghsas | Contiene una lista de identificadores GitHub Advisory Database que se pueden omitir durante la detección. Puedes encontrar los valores posibles para este parámetro en los GitHub Advisory Database. | |
config-file | Especifica una ruta de acceso a un archivo de configuración. El archivo de configuración puede ser local al repositorio o un archivo ubicado en un repositorio externo. | |
external-repo-token | Especifica un token para capturar el archivo de configuración, si el archivo reside en un repositorio externo privado. El token debe tener acceso de lectura al repositorio. |
Lectura adicional
-
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/customizing-your-dependency-review-action-configuration)