供应链安全
GitHub 的安全功能有助于帮助您跟踪项目的依赖项和构建产物。
供应链安全
GitHub 有助于保护供应链,从了解环境中的依赖项到了解这些依赖项中的漏洞,以及修补这些漏洞。
维护依赖项的最佳做法
有关维护你所使用依赖项的指南和建议,包括可帮助提升安全性的 GitHub 安全产品。
依赖项关系图
您可以使用依赖关系图来识别项目的所有依赖项。 依赖关系图支持一系列流行的软件包生态系统。
依赖项图如何识别依赖项
依赖项图会自动分析清单文件。 可以提交无法自动检测到的依赖项的数据。
依赖项审查
依赖项评审 允许在将依赖项引入环境之前捕获不安全的依赖项,并提供有关许可证、依赖项和依赖项年龄的信息。
Dependabot 警报
Dependabot alerts 帮助你查找和修复存在漏洞的依赖项,以防它们成为安全风险。
Dependabot 警报指标
使用指标跟踪和确定整个组织的优先级 Dependabot alerts 。
Dependabot 安全更新
Dependabot 可以通过发起包含安全更新的拉取请求,为您修复存在漏洞的依赖项。
Dependabot 版本更新
你可以使用 Dependabot 来使你使用的软件包保持更新到最新版本。
Dependabot 拉取请求
了解版本和安全更新的拉取请求频率及其自定义选项。
多生态系统更新
多生态系统更新将多个包生态系统中的依赖项更新合并为单个拉取请求,减少评审开销并简化更新工作流。
关于 dependabot.yml 文件
dependabot.yml 控制存储库中的自动依赖项更新。
Dependabot 自动分类规则
Dependabot控制如何处理安全警报,包括筛选、忽略、阻止或触发安全更新。
Dependabot 作业日志
GitHub 记录 Dependabot 运行的每个更新作业,让你能够了解各个依赖项的版本更新、安全修补程序和自动变基。
不可变版本
了解不可变版本以及它们如何帮助维护软件供应链的完整性。