Skip to main content

Безопасность цепочки поставок

GitHubфункции безопасности помогает отслеживать зависимости ваших проектов и созданные артефакты.

Безопасность цепочки поставок

GitHub Это помогает защитить вашу цепочку поставок — от понимания зависимостей в вашей среде до изучения уязвимостей в этих зависимостей и их исправления.

Рекомендации по поддержанию зависимостей

Рекомендации и рекомендации по поддержанию используемых зависимостей, включая GitHubпродукты безопасности, которые могут помочь.

Граф зависимостей

Граф зависимостей можно использовать для обнаружения всех зависимостей проекта. Граф зависимостей поддерживает ряд популярных экосистем пакетов.

Как граф зависимостей распознаёт зависимости

Граф зависимостей автоматически анализирует файлы манифеста. Вы можете передавать данные зависимостей, которые нельзя обнаружить автоматически.

Анализ зависимостей

Проверка зависимостей позволяет выявлять небезопасные зависимости до их внедрения в вашу среду и предоставляет информацию о лицензиях, зависящих компонентах и возрасте зависимостей.

Оповещения Dependabot

Dependabot alerts Помогут вам найти и исправить уязвимые зависимости до того, как они станут угрозой безопасности.

Метрики для оповещений Dependabot

Используйте метрики для отслеживания и расстановки Dependabot alerts приоритетов по всей вашей организации.

Обновления для системы безопасности Dependabot

Dependabot может исправить уязвимые зависимости, создавая pull requests с обновлениями безопасности.

Обновления версий Dependabot

Вы можете поддерживать Dependabot обновление пакетов до последних версий.

Pull-запросы Dependabot

Понимайте частоту и опции настройки pull-запросов на обновления версий и безопасности.

Обновления с несколькими экосистемами

Обновления мультиэкосистем объединяют обновления зависимостей между несколькими экосистемами пакетов в один pull request, снижая накладные расходы на проверку и упрощая процесс обновления.

О файле dependabot.yml

Управление автоматизирует dependabot.yml обновления зависимостей в вашем репозитории.

Правила автообработки зависимостей

Контролируйте, как Dependabot обрабатываются оповещения безопасности, включая фильтрацию, игнорирование, задержку или запуск обновлений безопасности.

Журналы заданий Dependabot

GitHub регистрирует каждое задание обновления, выполняемого путем Dependabot, что позволяет просматривать обновления версий, исправления безопасности и автоматические перебазы между зависимостями.

Неизменяемые выпуски

Узнайте о неизменяемых выпусках и о том, как они помогут вам обеспечить целостность цепочки поставок программного обеспечения.