Konfigurieren der Aktion zur Überprüfung von Abhängigkeiten

Das "Abhängigkeitsüberprüfungsaktion" bezieht sich auf die spezifische Aktion, die über Unterschiede in einer Pullanforderung innerhalb des GitHub Actions Kontexts berichten kann. Sie kann dem GitHub Actions Workflow auch Durchsetzungsmechanismen hinzufügen. Weitere Informationen findest du unter Abhängigkeitsüberprüfung.

Eine Liste der allgemeinen Konfigurationsoptionen finden Sie in der Abhängigkeitsüberprüfung auf der GitHub Marketplace.

Konfigurieren von Abhängigkeitsüberprüfungsaktion

Es gibt zwei Methoden zum Konfigurieren der Abhängigkeitsüberprüfungsaktion:

• Inlinekonfiguration der Konfigurationsoptionen in deiner Workflowdatei
• Verweis auf eine Konfigurationsdatei in deiner Workflowdatei

Beachte, dass in allen Beispielen anstelle der SemVer-Versionsnummer (z. B. v3) eine kurze Versionsnummer für die Aktion verwendet wird (v3.0.8). Dadurch wird sichergestellt, dass du die neueste Nebenversion der Aktion verwendest.

Einrichten von Abhängigkeitsüberprüfungsaktion mithilfe der Inlinekonfiguration

1. Füge deinem Ordner .github/workflows einen neuen YAML-Workflow hinzu.

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
     contents: read
   
   jobs:
     dependency-review:
       runs-on: ubuntu-latest
       steps:
        - name: 'Checkout Repository'
          uses: actions/checkout@v6
        - name: Dependency Review
          uses: actions/dependency-review-action@v4
   

2. Lege die Einstellungen fest.

   In dieser Abhängigkeitsüberprüfungsaktion Beispieldatei wird veranschaulicht, wie Sie die verfügbaren Konfigurationsoptionen verwenden können.

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
     contents: read
   
   jobs:
     dependency-review:
       runs-on: ubuntu-latest
       steps:
       - name: 'Checkout Repository'
         uses: actions/checkout@v6
       - name: Dependency Review
         uses: actions/dependency-review-action@v4
         with:
           # Possible values: "critical", "high", "moderate", "low"
           fail-on-severity: critical
   
           
           # You can only include one of these two options: `allow-licenses` and `deny-licenses`
           # ([String]). Only allow these licenses (optional)
           # Possible values: Any SPDX-compliant license identifiers or expressions from https://spdx.org/licenses/
           allow-licenses: GPL-3.0, BSD-3-Clause, MIT
           # ([String]). Block the pull request on these licenses (optional)
           # Possible values: Any SPDX-compliant license identifiers or expressions from https://spdx.org/licenses/
           deny-licenses: LGPL-2.0, BSD-2-Clause
           
           # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
           # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
           allow-ghsas: GHSA-abcd-1234-5679, GHSA-efgh-1234-5679
           # ([String]). Block pull requests that introduce vulnerabilities in the scopes that match this list (optional)
           # Possible values: "development", "runtime", "unknown"
           fail-on-scopes: development, runtime
   

Verwenden einer Konfigurationsdatei zum Einrichten von Abhängigkeitsüberprüfungsaktion

1. Füge deinem Ordner .github/workflows einen neuen YAML-Workflow hinzu, und gib mithilfe von config-file an, dass du eine Konfigurationsdatei verwendest.

   YAML

   name: 'Dependency Review'
   on: [pull_request]
   
   permissions:
    contents: read
   
   jobs:
     dependency-review:
       runs-on: ubuntu-latest
       steps:
       - name: 'Checkout Repository'
         uses: actions/checkout@v6
       - name: Dependency Review
         uses: actions/dependency-review-action@v4
         with:
          # ([String]). Representing a path to a configuration file local to the repository or in an external repository.
          # Possible values: An absolute path to a local file or an external file.
          config-file: './.github/dependency-review-config.yml'
          # Optional alternative syntax for an external file: OWNER/REPOSITORY/FILENAME@BRANCH (uncomment if preferred)
          # config-file: 'github/octorepo/dependency-review-config.yml@main'
   
          # ([Token]) Use if your configuration file resides in a private external repository.
          # Possible values: Any GitHub token with read access to the private external repository.
          external-repo-token: 'ghp_123456789abcde'
   

2. Erstelle die Konfigurationsdatei in dem von dir angegebenen Pfad.

   Diese YAML-Beispieldatei veranschaulicht, wie du die verfügbaren Konfigurationsoptionen verwenden kannst.

   YAML

     # Possible values: "critical", "high", "moderate", "low"
     fail-on-severity: critical
   
     # You can only include one of these two options: `allow-licenses` and `deny-licenses`
     # ([String]). Only allow these licenses (optional)
     # Possible values: Any SPDX-compliant license identifiers or expressions from https://spdx.org/licenses/
     allow-licenses:
       - GPL-3.0
       - BSD-3-Clause
       - MIT
      # ([String]). Block the pull request on these licenses (optional)
      # Possible values: Any SPDX-compliant license identifiers or expressions from https://spdx.org/licenses/
     deny-licenses:
       - LGPL-2.0
       - BSD-2-Clause
   
      # ([String]). Skip these GitHub Advisory Database IDs during detection (optional)
      # Possible values: Any valid GitHub Advisory Database ID from https://github.com/advisories
     allow-ghsas:
       - GHSA-abcd-1234-5679
       - GHSA-efgh-1234-5679
      # ([String]). Block pull requests that introduce vulnerabilities in the scopes that match this list (optional)
      # Possible values: "development", "runtime", "unknown"
     fail-on-scopes:
       - development
       - runtime
   

Weitere Einzelheiten zu den Konfigurationsoptionen findest du unter dependency-review-action.

Weiterführende Lektüre

• Anpassung Ihrer Aktionskonfiguration für die Überprüfung von Abhängigkeiten