サプライ チェーンのセキュリティ

GitHub は、環境内の依存関係の理解から、それらの依存関係の脆弱性の把握、パッチの適用まで、サプライ チェーンをセキュリティで保護するのに役立ちます。

GitHub のセキュリティ製品など、使っている依存関係を維持するために役立つガイダンスと推奨事項です。

依存関係グラフを使って、プロジェクトの依存関係をすべて特定できます。 依存関係グラフは、幅広く一般的なパッケージエコシステムをサポートします。

依存関係グラフでは、マニフェスト ファイルが自動的に分析されます。 自動的に検出できない依存関係のデータを送信できます。

依存関係の確認 では、セキュリティで保護されていない依存関係を環境に導入する前にキャッチし、依存関係のライセンス、依存、および有効期間に関する情報を提供できます。

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts は、プロジェクトとそのユーザーを保護するために、依存関係内のマルウェアを特定するのに役立ちます。

メトリックを使用して、組織全体の Dependabot alerts を追跡し、優先順位を付けます。

Dependabot では、セキュリティ更新プログラムを使用して pull request を生成することで、脆弱な依存関係を修正できます。

Dependabotを使用して、使用するパッケージを最新バージョンに更新することができます。

バージョンとセキュリティ更新プログラムのプル要求の頻度とカスタマイズ オプションについて理解します。

複数のエコシステムの更新では、複数のパッケージ エコシステムにわたる依存関係の更新が 1 つのプル要求に結合されるため、レビューのオーバーヘッドが削減され、更新ワークフローが簡素化されます。

dependabot.ymlは、リポジトリ内の依存関係の自動更新を制御します。

フィルター処理、無視、スヌーズ、セキュリティ更新プログラムのトリガーなど、 Dependabot によるセキュリティ アラートの処理方法を制御します。

GitHub は、リポジトリで Dependabot を有効にしている場合、GitHub Actions で GitHub Actions プル リクエストを生成するジョブを自動的に実行します。 Dependabotが有効になっている場合、これらのジョブは、リポジトリまたは組織レベルでアクション ポリシーのチェックと無効化をバイパスすることによって実行されます。

GitHub は、 Dependabot によって実行されるすべての更新ジョブをログに記録し、バージョンの更新プログラム、セキュリティ パッチ、および依存関係全体の自動リベースを可視化します。

変更不可リリースと、それらがソフトウェア サプライ チェーンの整合性を維持するためにどのように役立つかについて説明します。

linked artifacts pageは、成果物が格納されている場所に関係なく、GitHubに基づいて組織のビルドを監査し、優先順位を付けるのに役立ちます。