Seguridad de la cadena de suministro

GitHub ayuda a proteger la cadena de suministro, desde comprender las dependencias de su entorno hasta conocer las vulnerabilidades de esas dependencias y aplicarles revisiones.

Instrucciones y recomendaciones para mantener las dependencias que usas, incluidos los productos de seguridad de GitHub que pueden ayudar.

Puedes utilizar la gráfica de dependencias para identificar todas las dependencias de tus proyectos. La gráfica de dependencias es compatible con una variedad de ecosistemas de paquetes populares.

El grafo de dependencias analiza automáticamente los archivos de manifiesto. Puede enviar datos para las dependencias que no se pueden detectar automáticamente.

La revisión de dependencias le permite detectar dependencias no seguras antes de introducirlas en el entorno y proporciona información sobre las licencias, los dependientes y la antigüedad de las dependencias.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts le ayudará a identificar malware en las dependencias para proteger el proyecto y sus usuarios.

Use métricas para realizar un seguimiento y priorizar Dependabot alerts en toda la organización.

Dependabot puede corregir las dependencias vulnerables para usted mediante la generación de solicitudes de incorporación de cambios con actualizaciones de seguridad.

Puede usar Dependabot para mantener los paquetes que use actualizados a las versiones más recientes.

Comprenda las opciones de frecuencia y personalización de las solicitudes de incorporación de cambios para las actualizaciones de versión y seguridad.

Las actualizaciones de varios ecosistemas combinan las actualizaciones de dependencia en varios ecosistemas de paquetes en una sola solicitud de incorporación de cambios, lo que reduce la sobrecarga de revisión y simplifica el flujo de trabajo de actualización.

dependabot.yml controla las actualizaciones de dependencia automatizadas en su repositorio.

Controla cómo Dependabot gestiona las alertas de seguridad, incluido filtrarlas, ignorarlas, posponerlas o activar actualizaciones de seguridad.

GitHub ejecuta automáticamente los trabajos que generan Dependabot solicitudes de extracción en GitHub Actions si tiene GitHub Actions habilitado en el repositorio. Cuando se habilita Dependabot, estos trabajos se ejecutarán omitiendo las comprobaciones de directiva de Actions y la deshabilitación a nivel de repositorio u organización.

GitHub registra cada trabajo de actualización realizado por Dependabot, proporcionándole visibilidad sobre las actualizaciones de versiones, las revisiones de seguridad y las rebases automatizadas en las dependencias.

Obtén información sobre las versiones inmutables y cómo pueden ayudarte a mantener la integridad de la cadena de suministro de software.

Esto linked artifacts page te ayuda a auditar y priorizar las construcciones de tu organización sobre GitHub, independientemente de dónde se almacenen los artefactos.