Безопасность цепочки поставок

GitHub Это помогает защитить вашу цепочку поставок — от понимания зависимостей в вашей среде до изучения уязвимостей в этих зависимостей и их исправления.

Рекомендации и рекомендации по поддержанию используемых зависимостей, включая продукты безопасности GitHub.

Граф зависимостей можно использовать для обнаружения всех зависимостей проекта. Граф зависимостей поддерживает ряд популярных экосистем пакетов.

Граф зависимостей автоматически анализирует файлы манифеста. Вы можете передавать данные зависимостей, которые нельзя обнаружить автоматически.

Проверка зависимостей позволяет выявлять небезопасные зависимости до их внедрения в вашу среду и предоставляет информацию о лицензиях, зависящих компонентах и возрасте зависимостей.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts Помогут вам выявить вредоносное ПО в ваших зависимостях для защиты вашего проекта и его пользователей.

Используйте метрики для отслеживания и расстановки Dependabot alerts приоритетов по всей вашей организации.

Dependabot может исправить уязвимые зависимости, создавая pull requests с обновлениями безопасности.

Вы можете поддерживать Dependabot обновление пакетов до последних версий.

Понимайте частоту и опции настройки pull-запросов на обновления версий и безопасности.

Обновления мультиэкосистем объединяют обновления зависимостей между несколькими экосистемами пакетов в один pull request, снижая накладные расходы на проверку и упрощая процесс обновления.

Управление автоматизирует dependabot.yml обновления зависимостей в вашем репозитории.

Контролируйте, как Dependabot обрабатываются оповещения безопасности, включая фильтрацию, игнорирование, задержку или запуск обновлений безопасности.

GitHub Автоматически запускайте задачи, которые генерируют Dependabot pull request, если GitHub Actions у GitHub Actions вас включён репозиторий. При Dependabot включении эти задания будут выполняться путём обхода проверок политики Actions и отключения на уровне репозитория или организации.

GitHub фиксирует каждое задание обновления, выполняемое Dependabot, предоставляя вам доступ к обновлениям версий, патчам безопасности и автоматическим перебазировкам между зависимостями.

Узнайте о неизменяемых выпусках и о том, как они помогут вам обеспечить целостность цепочки поставок программного обеспечения.

Это linked artifacts page помогает вам проводить аудит и расставлять приоритеты построений GitHubвашей организации, независимо от того, где хранятся артефакты.