Dependency Review Gate とは何か
dependency review gate は、変更が追加、更新、または削除する依存関係を調べる、自動化された pull request チェックです。コードがマージされる前に、新たに導入された脆弱性、許可されていないライセンス、または疑わしいバージョンの飛躍を指摘します。gate はチェックを失敗させ、人間が先に指摘事項に対処しなければならないようにします。
なぜ重要か
リスクのある依存関係を review の時点で捉えることは、production で発見するよりもはるかに安価です。gate は、依存関係のリスクを code review の可視かつブロッキングな一部にします。
関連ガイド
What Is a Vulnerability Allowlist?A vulnerability allowlist records specific known findings that were reviewed and accepted, so a scanner can i…
What Is a License Allowlist?A license allowlist is a curated set of approved software licenses, letting a pipeline reject any dependency…
What Is a Locked Dependency Tree?A locked dependency tree is the full set of resolved dependency versions and hashes captured in a lockfile, s…