サプライ チェーンのセキュリティ

GitHub は、環境内の依存関係の理解から、それらの依存関係の脆弱性の把握、パッチの適用まで、サプライ チェーンをセキュリティで保護するのに役立ちます。

GitHub のセキュリティ製品など、使っている依存関係を維持するために役立つガイダンスと推奨事項です。

依存関係グラフを使って、プロジェクトの依存関係をすべて特定できます。 依存関係グラフは、幅広く一般的なパッケージエコシステムをサポートします。

依存関係グラフでは、マニフェスト ファイルが自動的に分析されます。 自動的に検出できない依存関係のデータを送信できます。

依存関係の確認 では、セキュリティで保護されていない依存関係を環境に導入する前にキャッチし、依存関係のライセンス、依存、および有効期間に関する情報を提供できます。

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot では、セキュリティ更新プログラムを使用して pull request を生成することで、脆弱な依存関係を修正できます。

Dependabotを使用して、使用するパッケージを最新バージョンに更新することができます。

バージョンとセキュリティ更新プログラムのプル要求の頻度とカスタマイズ オプションについて理解します。

dependabot.ymlは、リポジトリ内の依存関係の自動更新を制御します。

フィルター処理、無視、スヌーズ、セキュリティ更新プログラムのトリガーなど、 Dependabot によるセキュリティ アラートの処理方法を制御します。

GitHub は、 Dependabot によって実行されるすべての更新ジョブをログに記録し、バージョンの更新プログラム、セキュリティ パッチ、および依存関係全体の自動リベースを可視化します。