Сведения о проверке зависимостей
Проверка зависимостей помогает разобраться в изменениях зависимостей и понять их влияние на безопасность в каждом запросе на вытягивание. Она обеспечивает легко понятную визуализацию изменений зависимостей с широкими возможностями на вкладке "Измененные файлы" запроса на вытягивание. Функция проверки зависимостей позволяет получить следующую информацию:
- Какие зависимости были добавлены, удалены или обновлены вместе с датами выпуска
- Сколько проектов использует эти компоненты
- Данные уязвимости для этих зависимостей
Некоторые дополнительные функции, такие как проверки лицензий, блокировка запросов на вытягивание и интеграция CI/CD, доступны в действии проверки зависимостей.
Проверка того, включает ли ваша лицензия GitHub Advanced Security
Вы можете определить, есть ли у вашей организации лицензия на GitHub Advanced Security, просмотрев параметры организации. Дополнительные сведения см. в разделе Включение GitHub Advanced Security для предприятия.
Предварительные требования для проверки зависимостей
-
Лицензия на GitHub Advanced Security (см . AUTOTITLE).
-
Граф зависимостей, включенный для экземпляра. Администраторы сайта могут включить граф зависимостей через консоль управления или административную оболочку (см. autoTITLE).
-
GitHub Connect включен для загрузки и синхронизации уязвимостей из GitHub Advisory Database. Обычно это настраивается как часть настройки Dependabot (см . AUTOTITLE).
Включение и отключение проверки зависимостей
Чтобы включить или отключить проверку зависимостей, необходимо включить или отключить граф зависимостей для экземпляра.
Дополнительные сведения см. в разделе Включение графа зависимостей для предприятия.
Выполнение проверки зависимостей с помощью GitHub Actions
Note
Действие проверки зависимостей в настоящее время находится в beta и подлежит изменению.
Действие проверки зависимостей включается в установку GitHub Enterprise Server. Оно доступно для всех репозиториев с включенным GitHub Advanced Security и графом зависимостей.
Действие проверки зависимостей сканирует запросы на вытягивание изменений зависимостей и вызывает ошибку, если какие-либо новые зависимости имеют известные уязвимости. Для этого действие использует конечную точку API, которая сравнивает зависимости между двумя редакциями и сообщает о любых различиях.
Дополнительные сведения об действии и конечной точке API см. в dependency-review-action документации и AUTOTITLE.
Пользователи выполняют действие проверки зависимостей с помощью рабочего процесса GitHub Actions. Если вы еще не настроили средства выполнения для GitHub Actions, это необходимо сделать, чтобы пользователи могли запускать рабочие процессы. Вы можете предоставить локальные средства выполнения на уровне репозитория, организации или корпоративной учетной записи. Дополнительные сведения см. в разделе [AUTOTITLE и О самостоятельно размещенных средствах выполнения](/actions/hosting-your-own-runners/managing-self-hosted-runners/adding-self-hosted-runners).