Настройка проверки зависимостей для устройства

Чтобы помочь пользователям понять изменения зависимостей при просмотре pull request, вы можете включить, настроить и отключить проверку зависимостей для GitHub Enterprise Server.

Кто может использовать эту функцию?

Проверка зависимостей доступна для следующих типов репозитория:

  • Репозитории, принадлежащие организации, с GitHub Code Security включено

В этой статье

Сведения о проверке зависимостей

Проверка зависимостей помогает разобраться в изменениях зависимостей и понять их влияние на безопасность в каждом запросе на вытягивание. Она обеспечивает легко понятную визуализацию изменений зависимостей с широкими возможностями на вкладке "Измененные файлы" запроса на вытягивание. Функция проверки зависимостей позволяет получить следующую информацию:

  • Какие зависимости были добавлены, удалены или обновлены вместе с датами выпуска
  • Сколько проектов использует эти компоненты
  • Данные уязвимости для этих зависимостей

Некоторые дополнительные функции, такие как проверки лицензий, блокировка запросов на вытягивание и интеграция CI/CD, доступны в действии проверки зависимостей.

Проверяете, включает ли ваша лицензия Advanced Security

Вы можете определить, есть ли у вашего предприятия лицензия на Advanced Security продукты, изучив корпоративные настройки. Дополнительные сведения см. в разделе Создание GitHub Advanced Security продуктов для вашего бизнеса.

Предварительные требования для проверки зависимостей

  • Лицензия на GitHub Code Security или GitHub Advanced Security (см. GitHub Advanced Security Выставление счетов за лицензии).

  • Граф зависимостей, включенный для экземпляра. Администраторы сайта могут включить граф зависимостей через консоль управления или административную оболочку (см. autoTITLE).

  • GitHub Connect включено для загрузки и синхронизации уязвимостей из GitHub Advisory Database. Обычно это настраивается при настройке Dependabot (см. Включение Dependabot для предприятия).

Включение и отключение проверки зависимостей

Чтобы включить или отключить проверку зависимостей, необходимо включить или отключить граф зависимостей для экземпляра.

Дополнительные сведения см. в разделе Включение графа зависимостей для предприятия.

Проведение проверки зависимостей с помощью GitHub Actions

Примечание.

Действие проверки зависимостей в настоящее время находится в Публичный предварительный просмотр и подлежит изменению.

Действие проверки зависимости включено в вашу установку GitHub Enterprise Server. Он доступен для всех репозиториев, в GitHub Code Security которых включён граф зависимостей.GitHub Advanced Security

Действие проверки зависимостей сканирует запросы на вытягивание изменений зависимостей и вызывает ошибку, если какие-либо новые зависимости имеют известные уязвимости. Для этого действие использует конечную точку API, которая сравнивает зависимости между двумя редакциями и сообщает о любых различиях.

Дополнительные сведения об действии и конечной точке API см. в dependency-review-action документации и AUTOTITLE.

Пользователи запускают действие проверки зависимостей с помощью рабочего GitHub Actions процесса. Если вы ещё не настроили раннеры для GitHub Actions, нужно сделать это, чтобы пользователи могли запускать рабочие процессы. Вы можете предоставить локальные средства выполнения на уровне репозитория, организации или корпоративной учетной записи. Дополнительные сведения см. в разделе [AUTOTITLE и Локальные средства выполнения тестов](/actions/hosting-your-own-runners/managing-self-hosted-runners/adding-self-hosted-runners).