Skip to main content

Enterprise Server 3.15 ist derzeit als Release Candidate verfügbar.

Konfigurieren der Abhängigkeitsüberprüfung für deine Appliance

Zum besseren Verständnis von Abhängigkeitsänderungen beim Überprüfen von Pull Requests kannst du die Abhängigkeitsüberprüfung für GitHub Enterprise Server aktivieren, konfigurieren und deaktivieren.

Wer kann dieses Feature verwenden?

Abhängigkeitsreviews sind für Repositorys im Besitz von Organisationen in GitHub Enterprise Server verfügbar. Dieses Feature erfordert eine Lizenz für GitHub Advanced Security. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:

  • Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Veröffentlichungsdaten.
  • Wie viele Projekte diese Komponenten verwenden.
  • Sicherheitsrisikodaten für diese Abhängigkeiten.

Einige zusätzliche Features, wie z. B. Lizenzüberprüfungen, das Blockieren von Pull Requests und die CI/CD-Integration, stehen mit der Aktion zum Überprüfen von Abhängigkeiten zur Verfügung.

Überprüfen, ob deine Lizenz GitHub Advanced Security umfasst

Du kannst ermitteln, ob dein Unternehmen über eine GitHub Advanced Security-Lizenz verfügt, indem du deine Unternehmenseinstellungen überprüfst. Weitere Informationen findest du unter Aktivieren von GitHub Advanced Security für dein Unternehmen.

Voraussetzungen für die Abhängigkeitsüberprüfung

Aktivieren und Deaktivieren der Abhängigkeitsüberprüfung

Um die Abhängigkeitsüberprüfung zu aktivieren oder zu deaktivieren, musst du das Abhängigkeitsdiagramm für deine Instanz aktivieren oder deaktivieren.

Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen.

Durchführen der Abhängigkeitsüberprüfung mit GitHub Actions

Hinweis: Die Abhängigkeitsüberprüfungsaktion liegt derzeit als beta vor und kann sich noch ändern.

Die Aktion zum Überprüfen von Abhängigkeiten ist in deiner Installation von GitHub Enterprise Server enthalten. Sie ist für alle Repositorys verfügbar, bei denen GitHub Advanced Security und das Abhängigkeitsdiagramm aktiviert sind.

Die Abhängigkeitsüberprüfungsaktion prüft deine Pull Requests auf Änderungen bei Abhängigkeiten und gibt einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.

Weitere Informationen zur Aktion und zum API-Endpunkt finden Sie in der Dokumentation dependency-review-action und unter „REST-API-Endpunkte für die Abhängigkeitsüberprüfung“.

Benutzer führen die Aktion zur Abhängigkeitsüberprüfung mit einem GitHub Actions-Workflow aus. Falls du noch keine Runner für GitHub Actions eingerichtet hast, musst du dies nachholen, damit die Benutzer Workflows ausführen können. Du kannst selbstgehostete Runner auf Repository-, Organisations- oder Unternehmenskontoebene bereitstellen. Weitere Informationen findest du unter Informationen zu selbstgehosteten Runnern und unter Selbst-gehostete Runner hinzufügen.