Безопасность цепочки поставок

GitHub помогает защитить цепочку поставок, от понимания зависимостей в вашей среде до знания об уязвимостях в этих зависимостях и их исправлении.

Рекомендации и рекомендации по поддержанию используемых зависимостей, включая продукты безопасности GitHub.

Граф зависимостей можно использовать для обнаружения всех зависимостей проекта. Граф зависимостей поддерживает ряд популярных экосистем пакетов.

Проверка зависимостей позволяет перехватывать небезопасные зависимости до того, как они попадут в среду выполнения, и получать сведения о лицензиях, зависимых элементах и сроке существования зависимостей.

Dependabot alerts поможет вам найти и исправить уязвимые зависимости до того, как они станут угрозой безопасности.

Используйте метрики для отслеживания и приоритизирования Dependabot alerts по всей вашей организации.

Dependabot может исправить уязвимые зависимости, создавая запросы на вытягивание с помощью обновлений системы безопасности.

Вы можете использовать Dependabot, чтобы обновлять используемые пакеты до последних версий.

Понимайте частоту и опции настройки pull-запросов на обновления версий и безопасности.

Управление автоматизирует dependabot.yml обновления зависимостей в вашем репозитории.

Контролировать, как Dependabot обрабатывает оповещения безопасности, включая фильтрацию, игнорирование, откладывание или запуск обновлений безопасности.

GitHub фиксирует каждое задание обновления, выполняемое Dependabot, предоставляя вам доступ к обновлениям версий, патчам безопасности и автоматическим перебазировкам между зависимостями.