Сведения о проверке зависимостей
Проверка зависимостей помогает разобраться в изменениях зависимостей и понять их влияние на безопасность в каждом запросе на вытягивание. Она обеспечивает легко понятную визуализацию изменений зависимостей с широкими возможностями на вкладке "Измененные файлы" запроса на вытягивание. Функция проверки зависимостей позволяет получить следующую информацию:
- Какие зависимости были добавлены, удалены или обновлены вместе с датами выпуска
- Сколько проектов использует эти компоненты
- Данные уязвимости для этих зависимостей
Некоторые дополнительные функции, такие как проверки лицензий, блокировка запросов на вытягивание и интеграция CI/CD, доступны в действии проверки зависимостей.
Проверяете, включает ли ваша лицензия Advanced Security
Вы можете определить, имеет ли ваша организация лицензию на Advanced Security , просмотрив параметры предприятия. Дополнительные сведения см. в разделе Создание GitHub Advanced Securityдля вашего бизнеса.
Предварительные требования для проверки зависимостей
-
Лицензия на GitHub Advanced Security (см. GitHub Advanced Security Выставление счетов за лицензии).
-
Граф зависимостей, включенный для экземпляра. Администраторы сайта могут включить граф зависимостей через консоль управления или административную оболочку (см. autoTITLE).
-
GitHub Connect включено для загрузки и синхронизации уязвимостей из GitHub Advisory Database. Обычно это настраивается при настройке Dependabot (см. Включение Dependabot для предприятия).
Включение и отключение проверки зависимостей
Чтобы включить или отключить проверку зависимостей, необходимо включить или отключить граф зависимостей для экземпляра.
Дополнительные сведения см. в разделе Включение графа зависимостей для предприятия.
Проведение проверки зависимостей с помощью GitHub Actions
Примечание.
Действие проверки зависимостей в настоящее время находится в Публичный предварительный просмотр и подлежит изменению.
Действие проверки зависимости включено в вашу установку GitHub Enterprise Server. Он доступен для всех репозиториев, в GitHub Advanced Security
Действие проверки зависимостей сканирует запросы на вытягивание изменений зависимостей и вызывает ошибку, если какие-либо новые зависимости имеют известные уязвимости. Для этого действие использует конечную точку API, которая сравнивает зависимости между двумя редакциями и сообщает о любых различиях.
Дополнительные сведения об действии и конечной точке API см. в dependency-review-action документации и AUTOTITLE.
Пользователи запускают действие проверки зависимостей с помощью рабочего GitHub Actions процесса. Если вы ещё не настроили раннеры для GitHub Actions, нужно сделать это, чтобы пользователи могли запускать рабочие процессы. Вы можете предоставить локальные средства выполнения на уровне репозитория, организации или корпоративной учетной записи. Дополнительные сведения см. в разделе [AUTOTITLE и Локальные средства выполнения тестов](/actions/hosting-your-own-runners/managing-self-hosted-runners/adding-self-hosted-runners).