サプライ チェーンのセキュリティ

GitHub は、環境内の依存関係の理解から、それらの依存関係の脆弱性の把握やパッチの適用まで、サプライ チェーンをセキュリティで保護するのに役立ちます。

GitHub のセキュリティ製品など、使っている依存関係を維持するために役立つガイダンスと推奨事項です。

依存関係グラフを使って、プロジェクトの依存関係をすべて特定できます。 依存関係グラフは、幅広く一般的なパッケージエコシステムをサポートします。

The dependency graph automatically analyzes manifest files. You can submit data for dependencies that cannot be detected automatically.

依存関係のレビューを使うと、安全でない依存関係を自分の環境に持ち込んでしまう前に捉え、ライセンス、依存物、依存関係の期間に関する情報を確認できます。

Dependabot alerts は、セキュリティ リスクになる前に、脆弱な依存関係を見つけて修正するのに役立ちます。

メトリックを使用して、組織全体で Dependabot alerts を追跡し、優先順位を決定します。

Dependabot は、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱性のある依存関係を修正できます。

Dependabot を使用して、使用するパッケージを最新バージョンに更新しておくことができます。

バージョンとセキュリティ更新プログラムのプル要求の頻度とカスタマイズ オプションについて理解します。

          `dependabot.yml`は、リポジトリ内の依存関係の自動更新を制御します。

Dependabot はセキュリティアラートを処理する方法を制御します。これには、フィルタリング、無視、スヌーズ、またはセキュリティ更新のトリガーを含むさまざまな操作が含まれます。

GitHub は、 Dependabot によって実行されるすべての更新ジョブをログに記録し、バージョンの更新プログラム、セキュリティ パッチ、および依存関係全体の自動リベースを可視化します。

変更不可リリースと、それらがソフトウェア サプライ チェーンの整合性を維持するためにどのように役立つかについて説明します。