Безопасность цепочки поставок

GitHub Это помогает защитить вашу цепочку поставок — от понимания зависимостей в вашей среде до изучения уязвимостей в этих зависимостей и их исправления.

Рекомендации и рекомендации по поддержанию используемых зависимостей, включая продукты безопасности GitHub.

Граф зависимостей можно использовать для обнаружения всех зависимостей проекта. Граф зависимостей поддерживает ряд популярных экосистем пакетов.

Граф зависимостей автоматически анализирует файлы манифеста. Вы можете передавать данные зависимостей, которые нельзя обнаружить автоматически.

Проверка зависимостей позволяет выявлять небезопасные зависимости до их внедрения в вашу среду и предоставляет информацию о лицензиях, зависящих компонентах и возрасте зависимостей.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot может исправить уязвимые зависимости, создавая pull requests с обновлениями безопасности.

Вы можете поддерживать Dependabot обновление пакетов до последних версий.

Понимайте частоту и опции настройки pull-запросов на обновления версий и безопасности.

Управление автоматизирует dependabot.yml обновления зависимостей в вашем репозитории.

Контролируйте, как Dependabot обрабатываются оповещения безопасности, включая фильтрацию, игнорирование, задержку или запуск обновлений безопасности.

GitHub фиксирует каждое задание обновления, выполняемое Dependabot, предоставляя вам доступ к обновлениям версий, патчам безопасности и автоматическим перебазировкам между зависимостями.