Verwenden der Abhängigkeitsübermittlungs-API

Mit der Abhängigkeitsübermittlungs-API kannst du Abhängigkeiten für Projekte übermitteln, z. B. die Abhängigkeiten, die gelöst werden, wenn ein Projekt erstellt oder kompiliert wird.

In diesem Artikel

Informationen zu Abhängigkeitsübermittlungs-API

Du kannst die REST-API verwenden, um Abhängigkeiten für ein Projekt zu übermitteln. Dadurch kannst du Abhängigkeiten wie die, die beim Kompilieren oder Erstellen von Software aufgelöst werden, zum Abhängigkeitsdiagrammfeature von GitHub hinzufügen und ein vollständigeres Bild aller Abhängigkeiten deines Projekts bieten.

Das Abhängigkeitsdiagramm zeigt alle Abhängigkeiten, die du mithilfe der API übermittelst, zusätzlich zu allen Abhängigkeiten, die von Manifest- oder Sperrdateien im Repository aus identifiziert werden (z. B. eine package-lock.json-Datei in einem JavaScript-Projekt). Weitere Informationen zur Anzeige des Abhängigkeitsdiagramms findest du unter Untersuchen der Abhängigkeiten eines Repositorys.

Übermittelte Abhängigkeiten erhalten Dependabot alerts und Dependabot security updates für alle bekannten Sicherheitsrisiken. Sie erhalten Dependabot alerts nur für Abhängigkeiten, die aus einem der unterstützten Ökosysteme für GitHub Advisory Database stammen. Weitere Informationen zu diesen Ökosystemen findest du unter Informationen zu GitHub Advisory Database. Für transitive Abhängigkeiten, die über die Abhängigkeitsübermittlungs-API übermittelt werden, öffnet Dependabot automatisch Pull Requests, um die übergeordnete Abhängigkeit zu aktualisieren, wenn ein Update verfügbar ist.

Übermittelte Abhängigkeiten sind nicht in den Abhängigkeitserkenntnissen deiner Organisation verfügbar.

Abhängigkeiten werden in Form einer Momentaufnahme an die Abhängigkeitsübermittlungs-API übermittelt. Eine Momentaufnahme ist eine Reihe von Abhängigkeiten, die einem Commit-SHA und anderen Metadaten zugeordnet sind, die den aktuellen Status deines Repositorys für einen Commit widerspiegeln. Momentaufnahmen können aus den zur Buildzeit erkannten Abhängigkeiten generiert werden. Technische Details zur Verwendung der Abhängigkeitsübermittlungs-API über das Netzwerk findest du unter REST-API-Endpunkte für die Abhängigkeitsübermittlung.

Übermitteln von Abhängigkeiten zur Buildzeit

Du kannst die Abhängigkeitsübermittlungs-API in einem GitHub Actions-Workflow verwenden, um beim Erstellen deines Projekts Abhängigkeiten dafür zu übermitteln.

Verwenden vordefinierter Aktionen

Am einfachsten lässt sich die Abhängigkeitsübermittlungs-API verwenden, indem du deinem Repository eine vordefinierte Aktion hinzuzufügst, die die Liste der Abhängigkeiten erfasst, in das erforderliche Momentaufnahmeformat konvertiert und an die API übermittelt.

ÖkosystemAktion
GoGo-Abhängigkeitsübermittlung
GradleGradle Dependency Submission
MavenMaven Dependency Tree Dependency Submission
MühleMill Dependency Submission
Mix (Elixir)Mix Dependency Submission
ScalaSbt Dependency Submission
NuGet und andereAktion zur Übermittlung von Abhängigkeiten bei der Komponentenerkennung

Hinweis

Für die Aktion zur Übermittlung von Abhängigkeiten zur Komponentenerkennung werden auch andere Ökosysteme wie Vcpkg, Conan, Conda, Crates und NuGet unterstützt.

Der folgende Workflow für die Go-Abhängigkeitsübermittlung berechnet beispielsweise die Abhängigkeiten für ein Go-Buildziel (eine Go-Datei mit einer main-Funktion) und sendet die Liste an die Abhängigkeitsübermittlungs-API.

name: Go Dependency Submission
on:
  push:
    branches:
      - main

# The API requires write permission on the repository to submit dependencies
permissions:
  contents: write

# Environment variables to configure Go and Go modules. Customize as necessary
env:
  GOPROXY: '' # A Go Proxy server to be used
  GOPRIVATE: '' # A list of modules are considered private and not requested from GOPROXY
jobs:
  go-action-detection:
    runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v4

      - uses: actions/setup-go@v5
        with:
          go-version: ">=1.18.0"

      - name: Run snapshot action
        uses: actions/go-dependency-submission@v1
        with:
            # Required: Define the repo path to the go.mod file used by the
            # build target
            go-mod-path: go-example/go.mod
            #
            # Optional. Define the repo path of a build target,
            # a file with a `main()` function.
            # If undefined, this action will collect all dependencies
            # used by all build targets for the module. This may
            # include Go dependencies used by tests and tooling.
            go-build-target: go-example/cmd/octocat.go

Weitere Informationen zu diesen Aktionen findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.

Erstellen einer eigenen Aktion

Alternativ kannst du eine eigene Aktion schreiben, um Abhängigkeiten für dein Projekt zur Buildzeit zu übermitteln. Mit deinem Workflow sollen folgende Aktionen ausgeführt werden:

  1. Generieren einer Liste von Abhängigkeiten für dein Projekt.
  2. Übersetzen der Liste der Abhängigkeiten in das Momentaufnahmeformat, das von der Abhängigkeitsübermittlungs-API akzeptiert wird. Weitere Informationen zum Format findest du in den Textparametern für den API-Endpunkt „Erstellen einer Repository-Momentaufnahme“ unter REST-API-Endpunkte für die Abhängigkeitsübermittlung.
  3. Übermitteln der formatierten Liste der Abhängigkeiten an die Abhängigkeitsübermittlungs-API.

GitHub verwaltet das Dependency Submission Toolkit, eine TypeScript-Bibliothek, mit der du eine eigene GitHub-Aktion zum Übermitteln von Abhängigkeiten an die Abhängigkeitsübermittlungs-API erstellen kannst. Weitere Informationen zum Schreiben einer Aktion findest du unter Freigeben von Automatisierungen.

Senden von SBOMs als Momentaufnahmen

Wenn du über externe Tools verfügst, die Software Bills of Materials (SBOMs) erstellen oder verwalten, kannst du diese SBOMs ebenso an die Abhängigkeitsübermittlungs-API übermitteln. Das Datenformat der Momentaufnahme ähnelt sehr den standardmäßigen SPDX- und CycloneDX SBOM-Formaten, und es gibt mehrere Tools, mit denen Formate für die Verwendung als Momentaufnahmen generiert oder übersetzt werden können.

Tipp

Die SPDX-Abhängigkeitsübermittlungsaktion und die Anker SBOM Action können verwendet werden, um ein SBOM zu generieren und an die Abhängigkeitsübermittlungs-API zu übermitteln.

Der folgende SPDX-Workflow für die Abhängigkeitsübermittlungsaktion berechnet beispielsweise die Abhängigkeiten für ein Repository, generiert eine exportierbare SBOM im SPDX 2.2-Format und übermittelt sie an die Abhängigkeitsübermittlungs-API.


name: SBOM upload

on:
  workflow_dispatch:
  push:
    branches: ["main"]

jobs:
  SBOM-upload:

    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: write

    steps:
    - uses: actions/checkout@v4
    - name: Generate SBOM
      # generation command documentation: https://github.com/microsoft/sbom-tool#sbom-generation
      run: |
        curl -Lo $RUNNER_TEMP/sbom-tool https://github.com/microsoft/sbom-tool/releases/latest/download/sbom-tool-linux-x64
        chmod +x $RUNNER_TEMP/sbom-tool
        $RUNNER_TEMP/sbom-tool generate -b . -bc . -pn $ -pv 1.0.0 -ps OwnerName -nsb https://sbom.mycompany.com -V Verbose
    - uses: actions/upload-artifact@v3
      with:
        name: sbom
        path: _manifest/spdx_2.2
    - name: SBOM upload
      uses: advanced-security/spdx-dependency-submission-action@5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2c3d4e
      with:
        filePath: "_manifest/spdx_2.2/"