サプライ チェーンのセキュリティ

GitHub helps you secure your supply chain, from understanding the dependencies in your environment, to knowing about vulnerabilities in those dependencies, and patching them.

GitHub のセキュリティ製品など、使っている依存関係を維持するために役立つガイダンスと推奨事項です。

You can use the dependency graph to identify all your project's dependencies. The dependency graph supports a range of popular package ecosystems.

依存関係グラフでは、マニフェスト ファイルが自動的に分析されます。 自動的に検出できない依存関係のデータを送信できます。

Dependency review lets you catch insecure dependencies before you introduce them to your environment, and provides information on license, dependents, and age of dependencies.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts help you identify malware in your dependencies to protect your project and its users.

Use metrics to track and prioritize Dependabot alerts across your organization.

Dependabot can fix vulnerable dependencies for you by raising pull requests with security updates.

You can use Dependabot to keep the packages you use updated to the latest versions.

Understand the frequency and customization options of pull requests for version and security updates.

複数のエコシステムの更新では、複数のパッケージ エコシステムにわたる依存関係の更新が 1 つのプル要求に結合されるため、レビューのオーバーヘッドが削減され、更新ワークフローが簡素化されます。

dependabot.ymlは、リポジトリ内の依存関係の自動更新を制御します。

Control how Dependabot handles security alerts, including filtering, ignoring, snoozing, or triggering security updates.

GitHub automatically runs the jobs that generate Dependabot pull requests on GitHub Actions if you have GitHub Actions enabled for the repository. When Dependabot is enabled, these jobs will run by bypassing Actions policy checks and disablement at the repository or organization level.

GitHub は、 Dependabot によって実行されるすべての更新ジョブをログに記録し、バージョンの更新プログラム、セキュリティ パッチ、および依存関係全体の自動リベースを可視化します。

変更不可リリースと、それらがソフトウェア サプライ チェーンの整合性を維持するためにどのように役立つかについて説明します。

linked artifacts pageは、成果物が格納されている場所に関係なく、GitHubに基づいて組織のビルドを監査し、優先順位を付けるのに役立ちます。