À propos de la vérification des dépendances
Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Cette fonctionnalité fournit une visualisation facilement compréhensible des changements de dépendances avec des différences enrichies sous l’onglet « Fichiers modifiés » d’une demande de tirage (pull request). Une révision des dépendances vous informe de ce qui suit :
- Dépendances ajoutées, supprimées ou mises à jour, ainsi que leurs dates de publication.
- Nombre de projets utilisant ces composants.
- Données de vulnérabilité pour ces dépendances.
Certaines fonctionnalités supplémentaires, telles que les vérifications de licence, le blocage des demandes de tirage et l’intégration CI/CD, sont disponibles avec l’action Vérification des dépendances.
Vérification de la présence de GitHub Advanced Security dans votre licence
Vous pouvez déterminer si votre entreprise dispose d’une licence GitHub Advanced Security en examinant ses paramètres. Pour plus d’informations, consultez « Activation de GitHub Advanced Security pour votre entreprise ».
Prérequis à la vérification des dépendances
-
Une licence pour GitHub Advanced Security (consultez « À propos de la facturation pour GitHub Advanced Security »).
-
Graphe des dépendances activé pour l’instance. Les administrateurs de site peuvent activer le graphe des dépendances via la console de gestion ou l’interpréteur de commandes d’administration (voir « Activation du graphe de dépendances pour votre entreprise »).
-
GitHub Connect activé pour télécharger et synchroniser les vulnérabilités à partir de la GitHub Advisory Database. Ceci est généralement configuré dans le cadre de la configuration de Dependabot (voir « Activation de Dependabot pour votre entreprise »).
Activation et désactivation de la vérification des dépendances
Pour activer ou désactiver la vérification des dépendances, vous devez activer ou désactiver le graphe des dépendances pour votre instance.
Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise ».
Exécution de la vérification des dépendances à l’aide de GitHub Actions
Remarque : La action de révision des dépendances est en version bêta publique et peut être amenée à changer.
L’action de vérification des dépendances est incluse dans votre installation de GitHub Enterprise Server. Elle est disponible pour tous les dépôts où sont activés GitHub Advanced Security et le graphe des dépendances.
action de révision des dépendances analyse vos demandes de tirage à la recherche de changements de dépendances et génère une erreur si les nouvelles dépendances présentent des vulnérabilités connues. L’action est prise en charge par un point de terminaison d’API qui compare les dépendances entre deux révisions et signale toutes les différences.
Pour plus d’informations sur l’action et le point de terminaison d’API, consultez la documentation dependency-review-action et « Points de terminaison d’API REST pour la révision des dépendances ».
Les utilisateurs exécutent l’action de vérification des dépendances à l’aide d’un workflow GitHub Actions. Si vous n’avez pas déjà configuré d’exécuteurs pour GitHub Actions, vous devez le faire pour permettre aux utilisateurs d’exécuter des workflows. Vous pouvez provisionner des exécuteurs auto-hébergés au niveau du dépôt, de l’organisation ou du compte d’entreprise. Pour plus d’informations, consultez « À propos des exécuteurs auto-hébergés » et « Ajout d’exécuteurs auto-hébergés ».