Sécurité de la chaîne d’approvisionnement

GitHub vous aide à sécuriser votre chaîne d’approvisionnement, de comprendre les dépendances dans votre environnement, à connaître les vulnérabilités de ces dépendances et à les corriger.

Conseils et recommandations pour maintenir les dépendances que vous utilisez, y compris les produits de sécurité de GitHub qui peuvent vous aider.

Vous pouvez utiliser le graphe des dépendances pour identifier toutes les dépendances de votre projet. Le graphe des dépendances prend en charge une gamme d’écosystèmes de packages populaires.

Le graphique de dépendance analyse automatiquement les fichiers manifestes. Vous pouvez envoyer des données pour les dépendances qui ne peuvent pas être détectées automatiquement.

La révision des dépendances vous permet d’intercepter les dépendances non sécurisées avant de les introduire dans votre environnement et fournit des informations sur la licence, les dépendants et l’âge des dépendances.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot peut corriger pour vous les dépendances vulnérables en créant des pull requests contenant des mises à jour de sécurité.

Vous pouvez utiliser Dependabot pour conserver les packages que vous utilisez mis à jour vers les dernières versions.

Comprendre la fréquence et les options de personnalisation des pull requests pour les mises à jour de version et de sécurité.

Contrôle les dependabot.yml mises à jour des dépendances automatisées dans votre référentiel.

Contrôlez la façon dont Dependabot gère les alertes de sécurité, notamment pour les filtrer, les ignorer, les mettre temporairement en veille ou déclencher des mises à jour de sécurité.

GitHub enregistre toutes les tâches de mise à jour exécutées par Dependabot, vous donnant une visibilité sur les mises à jour de version, les correctifs de sécurité et les rebases automatiques de vos dépendances.