Skip to main content

Configurando a ação de revisão de dependência

Você pode usar o ação de revisão de dependência para detectar vulnerabilidades antes que elas sejam adicionadas ao projeto.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Sobre o ação de revisão de dependência

O "ação de revisão de dependência" se refere à ação específica que pode relatar diferenças em um pull request dentro do contexto do GitHub Actions e adicionar mecanismos de imposição ao fluxo de trabalho do GitHub Actions.

O ação de revisão de dependência verifica as solicitações de pull em busca de alterações de dependência e gera um erro quando novas dependências têm vulnerabilidades conhecidas. A ação tem o suporte de um ponto de extremidade de API que compara as dependências entre duas revisões e relata as diferenças.

Para obter mais informações sobre a ação e o ponto de extremidade da API, confira a documentação dependency-review-action e Pontos de extremidade da API REST para revisão de dependências.

Os proprietários da organização podem implantar a revisão de dependência em escala impondo o uso do ação de revisão de dependência em repositórios da organização. Isso envolve o uso de conjuntos de regras de repositório para os quais você definirá o ação de revisão de dependência como um fluxo de trabalho obrigatório, o que significa que as pull requests só podem ser mescladas depois que o fluxo de trabalho passar por todas as verificações necessárias. Para saber mais, confira Aplicando a revisão de dependência em uma organização.

Abaixo está a lista de opções de configuração comuns. Para obter mais informações e uma lista completa de opções, confira Revisão de Dependência no GitHub Marketplace.

OpçãoObrigatórioUso
fail-on-severityDefine o limite do nível de severidade (low, moderate, high e critical).
A ação falhará nas solicitações de pull que apresentarem vulnerabilidades no nível de severidade especificado ou superior.
fail-on-scopesContém uma lista de cadeias de caracteres que representam os ambientes de compilação aos quais você deseja oferecer suporte (development, runtime, unknown).
A ação falhará em solicitações de pull que introduzam vulnerabilidades nos escopos que correspondem à lista.
comment-summary-in-prHabilite ou desabilite o relatório do resumo de revisão como um comentário na solicitação de pull. Se habilitado, você deve conceder a permissão pull-requests: write ao workflow ou ao trabalho.
allow-ghsasContém uma lista de IDs GitHub Advisory Database que podem ser ignorados durante a detecção. É possível encontrar os valores possíveis para este parâmetro no GitHub Advisory Database.
config-fileEspecifica um caminho para um arquivo de configuração. O arquivo de configuração pode ser local ao repositório ou pode estar em um repositório externo.
external-repo-tokenEspecifica um token para buscar o arquivo de configuração, se o arquivo residir em um repositório externo privado. O token deve ter acesso de leitura ao repositório.

Leitura adicional