Acerca de la revisión de dependencias
La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña "Archivos cambiados" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:
- Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento
- Cuántos proyectos utilizan estos componentes
- Datos de las vulnerabilidades para estas dependencias
Algunas características adicionales, como las comprobaciones de licencia, el bloqueo de las solicitudes de incorporación de cambios y la integración de CI/CD, están disponibles con la acción de revisión de dependencias.
Comprobación de si la licencia incluye Advanced Security
Puede identificar si su empresa tiene una licencia para Advanced Security productos revisando la configuración de su empresa. Para más información, consulta Habilitar productos GitHub Advanced Security para su empresa.
Requisitos previos para la revisión de dependencias
-
Una licencia para GitHub Code Security o GitHub Advanced Security (consulte GitHub Advanced Security facturación de licencias).
-
Gráfico de dependencias habilitado para la instancia. Los administradores del sitio pueden habilitar el gráfico de dependencias a través de la consola de administración o el shell administrativo (consulte Habilitación del gráfico de dependencias para la empresa).
-
GitHub Connect habilitado para descargar y sincronizar vulnerabilidades desde el GitHub Advisory Database. Normalmente se configura como parte de la configuración Dependabot (consulte Habilitación de Dependabot para la empresa).
Habilitación y deshabilitación de la revisión de dependencias
Para habilitar o deshabilitar la revisión de dependencias, debes habilitar o deshabilitar el gráfico de dependencias de la instancia.
Para obtener más información, vea Habilitación del gráfico de dependencias para la empresa.
Ejecución de la revisión de dependencias mediante GitHub Actions
Nota:
La Acción de revisión de dependencias se encuentra actualmente en versión preliminar pública y está sujeta a cambios.
La acción de revisión de dependencias se incluye en la instalación de GitHub Enterprise Server. Está disponible para todos los repositorios que tienen GitHub Code Security o GitHub Advanced Security y tienen habilitado el grafo de dependencias.
La Acción de revisión de dependencias examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.
Para más información sobre la acción y el punto de conexión de API, consulta la documentación de dependency-review-action y Puntos de conexión de la API de REST para la revisión de dependencias.
Los usuarios ejecutan la acción de revisión de dependencias mediante un GitHub Actions flujo de trabajo. Si aún no ha configurado los ejecutores para GitHub Actions, debe hacerlo para permitir que los usuarios ejecuten flujos de trabajo. Puedes aprovisionar ejecutores auto-hospedados a nivel de repositorio, organización o empresa. Para obtener información, consulte Ejecutores autohospedados y Agrega ejecutores auto-hospedados.