Informationen zur Abhängigkeitsüberprüfung
Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:
- Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Veröffentlichungsdaten.
- Wie viele Projekte diese Komponenten verwenden.
- Sicherheitsrisikodaten für diese Abhängigkeiten.
Einige zusätzliche Features, wie z. B. Lizenzüberprüfungen, das Blockieren von Pull Requests und die CI/CD-Integration, stehen mit der Aktion zum Überprüfen von Abhängigkeiten zur Verfügung.
Überprüfen, ob deine Lizenz GitHub Advanced Security umfasst
Du kannst ermitteln, ob dein Unternehmen über eine GitHub Advanced Security-Lizenz verfügt, indem du deine Unternehmenseinstellungen überprüfst. Weitere Informationen findest du unter Aktivieren von GitHub Advanced Security für dein Unternehmen.
Voraussetzungen für die Abhängigkeitsüberprüfung
-
Eine Lizenz für GitHub Advanced Security (siehe Informationen zur Abrechnung von GitHub Advanced Security).
-
Das für die Instanz aktivierte Abhängigkeitsdiagramm. Standortadministrator*innen können das Abhängigkeitsdiagramm über die Verwaltungskonsole oder die Verwaltungsshell aktivieren (siehe Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen).
-
GitHub Connect muss zum Herunterladen und Synchronisieren von Sicherheitsrisiken aus der GitHub Advisory Database aktiviert sein. Diese Konfiguration erfolgt üblicherweise im Rahmen der Einrichtung von Dependabot (siehe Aktivieren von Dependabot für dein Unternehmen).
Aktivieren und Deaktivieren der Abhängigkeitsüberprüfung
Um die Abhängigkeitsüberprüfung zu aktivieren oder zu deaktivieren, musst du das Abhängigkeitsdiagramm für deine Instanz aktivieren oder deaktivieren.
Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen.
Durchführen der Abhängigkeitsüberprüfung mit GitHub Actions
Hinweis: Die Abhängigkeitsüberprüfungsaktion liegt derzeit als beta vor und kann sich noch ändern.
Die Aktion zum Überprüfen von Abhängigkeiten ist in deiner Installation von GitHub Enterprise Server enthalten. Sie ist für alle Repositorys verfügbar, bei denen GitHub Advanced Security und das Abhängigkeitsdiagramm aktiviert sind.
Die Abhängigkeitsüberprüfungsaktion prüft deine Pull Requests auf Änderungen bei Abhängigkeiten und gibt einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.
Weitere Informationen zur Aktion und zum API-Endpunkt finden Sie in der Dokumentation dependency-review-action
und unter „REST-API-Endpunkte für die Abhängigkeitsüberprüfung“.
Benutzer führen die Aktion zur Abhängigkeitsüberprüfung mit einem GitHub Actions-Workflow aus. Falls du noch keine Runner für GitHub Actions eingerichtet hast, musst du dies nachholen, damit die Benutzer Workflows ausführen können. Du kannst selbstgehostete Runner auf Repository-, Organisations- oder Unternehmenskontoebene bereitstellen. Weitere Informationen findest du unter Informationen zu selbstgehosteten Runnern und unter Selbst-gehostete Runner hinzufügen.