关于依赖项评审
依赖项审查帮助您了解依赖项变化以及这些变化在每个拉取请求中的安全影响。 它提供了一个易于理解的依赖项变化可视化效果,多差异显示在拉取请求的“更改的文件”选项卡上。 依赖项审查告知您:
- 与发行日期一起添加、删除或更新的依赖项有哪些
- 有多少项目使用这些组件
- 这些依赖项的漏洞数据
依赖项评审操作提供了一些附加功能,例如许可证检查、拉取请求阻止和 CI/CD 集成。
检查许可证是否包括 Advanced Security
可通过查看企业设置来确定企业是否具有 Advanced Security 许可证。 有关详细信息,请参阅“为您的企业启用GitHub Advanced Security”。
依赖项评审的先决条件
-
GitHub Advanced Security 的许可证(请参阅 GitHub Advanced Security 许可证计费)。
-
为实例启用了依赖项关系图。 站点管理员可以通过管理控制台或管理外壳启用依赖项关系图(请参阅 为企业启用依赖项关系图)。
-
GitHub Connect 已启用,可从 GitHub Advisory Database 下载并同步漏洞信息。 这通常是在设置 Dependabot 时进行配置的(请参阅 为企业启用 Dependabot)。
启用和禁用依赖项评审
要启用或禁用依赖项评审,需要启用或禁用实例的依赖项关系图。
有关详细信息,请参阅“为企业启用依赖项关系图”。
使用 GitHub Actions 运行依赖项审查
注意
依赖项审查操作 目前为 公开预览,可能会更改。
依赖项审查操作包含在您安装的 GitHub Enterprise Server 中。 它适用于所有具有 GitHub Advanced Security 且已启用依赖关系图的仓库。
依赖项审查操作 扫描拉取请求,查看是否存在依赖项更改,如果有任何新的依赖项存在已知漏洞,则会引发错误。 API 终结点支持此操作,该终结点比较两个修订之间的依赖关系,并报告任何差异。
有关操作和 API 终结点的详细信息,请参阅 dependency-review-action 文档和 适用于依赖项评审的 REST API 终结点。
用户使用工作流运行依赖项评审操作 GitHub Actions 。 如果尚未为 GitHub Actions 配置运行器,则必须完成此设置,才能使用户运行工作流。 你可以在仓库、组织或企业帐户级别预配自托管运行器。 有关信息,请参阅 自托管运行程序 和 添加自托管的运行器。