GitHub 现在可以阻止并提醒您引入受已知供应链漏洞影响的新依赖项的拉取请求。

这是通过将新的Dependency Review GitHub Action添加到您的一个项目中的现有工作流程来实现的。您可以通过存储库的“安全”下的“操作”选项卡或直接从 GitHub Marketplace 执行此操作。
它在API 端点的帮助下工作，这将帮助您在每次拉取请求将依赖项更改添加到您的存储库之前了解依赖项更改的安全影响。

GitHub 高级产品经理 Courtney Claessens 说：“GitHub Action 自动查找和阻止目前仅显示在拉取请求的丰富差异中的漏洞。”

它通过扫描针对GitHub 咨询数据库（详细说明开源软件中的安全漏洞的 CVE 和咨询的集合）的依赖项更改的拉取请求来工作，以查看新的依赖项是否会引入漏洞。

“如果他们这样做，该操作将引发错误，以便您可以查看哪个依赖项存在漏洞并使用提供的上下文智能实施修复，”Claessens 补充道。

GitHub 依赖审查在行动 (GitHub)
依赖性审查旨在提供以下信息：

添加、删除或更新了哪些依赖项以及发布日期
有多少项目使用这些组件
这些依赖项的漏洞数据
“通过检查拉取请求中的依赖项审查，并更改任何标记为易受攻击的依赖项，您可以避免将漏洞添加到您的项目中，”GitHub 解释说。

“Dependabot 警报会发现您的依赖项中已经存在的漏洞，但避免引入潜在问题比在以后修复问题要好得多。”

Dependency Review 操作目前处于公开测试阶段，适用于所有公共仓库和属于使用 GitHub Enterprise Cloud 且具有 GitHub Advanced Security 许可证的组织的私有仓库。

您可以在此处找到有关 Dependency Review 如何工作的更多信息。GitHub 还提供了有关该操作的市场入口的详细安装步骤。