On pourrait dire de même à propos d’une action récemment ouverte en bêta publique (code sous licence MIT). Son nom : Examen des dépendances. Elle repose sur l’API du même nom.
Cette API permet de visualiser les différences entre deux engage. Et leur impact en matière de sécurité, sur la base de l’Advisory Database de GitHub. Le résultat s’affiche dans l’onglet des tirages.
L’Action automatise le processus. Et peut, sous réserve de paramétrage, bloquer les engage qui introduisent des vulnérabilités.
Comme la détection des secrets en amont, Dependency Review fonctionne sur, d’une part, les dépôts publics. Et de l’autre, les dépôts privés d’organisations utilisant GitHub Enterprise Cloud avec la licence Advanced Security.
L’ensemble intervient en amont de Dependabot (analyse statique de code).
Illustration principale © Shahadat Rahman – Unsplash
