Sobre a análise de dependência
Revisão de dependências ajuda você a entender as alterações de dependência e o impacto de segurança dessas alterações em cada pull request. Ele fornece uma visualização facilmente compreensível de mudanças de dependência, com um diff avançado na aba "Arquivos alterados" de uma solicitação de pull. A revisão de dependências informa você:
- Quais dependências foram adicionadas, removidas ou atualizadas, junto com as datas de lançamento
- Quantos projetos usam esses componentes
- Dados de vulnerabilidade para essas dependências
Alguns recursos adicionais, como verificações de licença, bloqueio de solicitações de pull e integração de CI/CD, estão disponíveis com a ação de revisão de dependência.
Verificando se sua licença inclui Advanced Security
Você pode identificar se sua empresa tem uma licença de produtos do Advanced Security examinando as configurações da empresa. Para saber mais, confira Habilitando GitHub Advanced Securitypara sua empresa.
Pré-requisitos para revisão de dependência
-
Uma licença para GitHub Advanced Security (consulte GitHub Advanced Security cobrança de licença).
-
O grafo de dependência habilitado para a instância. Os administradores do site podem ativar o gráfico de dependências por meio do console de gerenciamento ou do shell administrativo (consulte Habilitando o gráfico de dependências para a sua empresa).
-
GitHub Connect ativado para baixar e sincronizar vulnerabilidades de GitHub Advisory Database. Isso geralmente é configurado como parte da configuração Dependabot (consulte Habilitando o Dependabot para sua empresa).
Como habilitar e desabilitar a revisão de dependência
Para habilitar ou desabilitar a revisão de dependência, você precisa habilitar ou desabilitar o grafo de dependência para sua instância.
Para obter mais informações, consulte Habilitando o gráfico de dependências para a sua empresa.
Executando a revisão de dependência usando GitHub Actions
Observação
A ação de revisão de dependência está em prévia pública e está sujeita a alterações.
A ação de revisão de dependência está incluída na instalação de GitHub Enterprise Server. Ele está disponível para todos os repositórios que têm GitHub Advanced Security e grafo de dependência habilitado.
O ação de revisão de dependência verifica as solicitações de pull em busca de alterações de dependência e gera um erro quando novas dependências têm vulnerabilidades conhecidas. A ação tem o suporte de um ponto de extremidade de API que compara as dependências entre duas revisões e relata as diferenças.
Para obter mais informações sobre a ação e o ponto de extremidade da API, confira a documentação dependency-review-action e Pontos de extremidade da API REST para revisão de dependências.
Os usuários executam a ação de revisão de dependência usando um GitHub Actions fluxo de trabalho. Se você ainda não configurou os executores para GitHub Actions, será necessário fazer isso para permitir que os usuários executem fluxos de trabalho. É possível fornecer executores auto-hospedados no nível da conta do repositório, organização ou empresa. Para obter informações, consulte Executores auto-hospedados e Adicionar executores auto-hospedados.