Sicherheit der Lieferkette

GitHub Hilft Ihnen, Ihre Lieferkette zu schützen, von der Kenntnis der Abhängigkeiten in Ihrer Umgebung bis hin zu Sicherheitsrisiken in diesen Abhängigkeiten und dem Patchen dieser Abhängigkeiten.

Leitfaden und Empfehlungen für die Verwaltung der von dir verwendeten Abhängigkeiten, einschließlich der Sicherheitsprodukte von GitHub, die dabei helfen können.

Du kannst das Abhängigkeitsdiagramm verwenden, um alle Abhängigkeiten deines Projekts zu identifizieren. Das Abhängigkeitsdiagramm unterstützt eine Reihe beliebter Paketökosysteme.

Das Abhängigkeitsdiagramm analysiert automatisch Manifestdateien. Sie können Daten für Abhängigkeiten senden, die nicht automatisch erkannt werden können.

Mit der Abhängigkeitsüberprüfung können Sie unsichere Abhängigkeiten abfangen, bevor Sie sie in Ihre Umgebung einführen und Informationen zu Lizenz, Abhängigen und Alter von Abhängigkeiten bereitstellen.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts Helfen Sie Ihnen, Schadsoftware in Ihren Abhängigkeiten zu identifizieren, um Ihr Projekt und seine Benutzer zu schützen.

Verwenden Sie Metriken, um Dependabot alerts in Ihrer Organisation nachzuverfolgen und zu priorisieren.

Dependabot kann verwundbare Abhängigkeiten für Sie beheben, indem Pull Requests mit Sicherheitsupdates erstellt werden.

Sie können Dependabot verwenden, um die von Ihnen verwendeten Pakete auf dem neuesten Stand zu halten.

Verstehen Sie die Häufigkeit und Anpassungsmöglichkeiten von Pull-Requests für Versions- und Sicherheitsupdates.

Multiökosystemupdates kombinieren Abhängigkeitsupdates über mehrere Paketökosysteme hinweg in einer einzigen Pull-Anforderung, wodurch der Aufwand für die Überprüfung reduziert und der Updateworkflow vereinfacht wird.

Die dependabot.yml Steuerelemente steuern automatisierte Abhängigkeitsupdates in Ihrem Repository.

Steuern Sie, wie Dependabot Sicherheitswarnungen behandelt werden, einschließlich Filtern, Ignorieren, Snoozing oder Auslösen von Sicherheitsupdates.

GitHub führt automatisch die Jobs aus, die Pull-Requests auf GitHub Actions generieren, wenn Sie GitHub Actions für das Repository aktiviert haben. Wenn Dependabot aktiviert ist, werden diese Jobs unter Umgehung von Actions-Richtlinienprüfungen und Deaktivierungen auf Repository- bzw. Organisationsebene ausgeführt.

GitHub protokolliert erfasst jeden Updateauftrag, der von Dependabot ausgeführt wird, sodass Sie Transparenz hinsichtlich Versionsupdates, Sicherheitspatches und automatisierten Rebases für Ihre Abhängigkeiten erhalten.

Erfahre mehr über unveränderliche Releases und wie sie dabei helfen können, die Integrität deiner Softwarelieferkette aufrechtzuerhalten.

Das linked artifacts page hilft Ihnen, die Builds Ihrer Organisation auf GitHub zu prüfen und zu priorisieren, unabhängig davon, wo die Artefakte gespeichert sind.