Segurança da cadeia de fornecedores

GitHub ajuda você a proteger sua cadeia de suprimentos, desde entender as dependências em seu ambiente até saber sobre vulnerabilidades nessas dependências e corrigi-las.

Diretrizes e recomendações para manter as dependências usadas, incluindo os produtos de segurança do GitHub que podem ser úteis.

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

O grafo de dependência analisa automaticamente os arquivos de manifesto. Você pode enviar dados para dependências que não podem ser detectadas automaticamente.

A revisão de dependência permite detectar dependências inseguras antes de apresentá-las ao seu ambiente e fornece informações sobre as licenças, os dependentes e a idade das dependências.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts ajude você a identificar malware em suas dependências para proteger seu projeto e seus usuários.

Use métricas para acompanhar e priorizar Dependabot alerts em toda a sua organização.

Dependabot pode corrigir dependências vulneráveis para você gerando solicitações de pull com atualizações de segurança.

Você pode usar Dependabot para manter os pacotes usados atualizados para as versões mais recentes.

Entenda as opções de frequência e personalização de solicitações pull para atualizações de versão e segurança.

As atualizações de vários ecossistemas combinam atualizações de dependência entre vários ecossistemas de pacotes em uma única solicitação de pull, reduzindo a sobrecarga de revisão e simplificando o fluxo de trabalho de atualização.

O dependabot.yml controla atualizações automatizadas no seu repositório.

Controlar como Dependabot lida com alertas de segurança, incluindo filtragem, ignorar, cochilar ou disparar atualizações de segurança.

GitHub executa automaticamente os trabalhos que geram Dependabot solicitações de pull em GitHub Actions se você tiver GitHub Actions habilitado para o repositório. Quando Dependabot estiver habilitado, esses trabalhos serão executados ignorando as verificações de política e a desabilitação do Actions no nível do repositório ou da organização.

GitHub registra todos os trabalhos de atualização executados por Dependabot, fornecendo visibilidade sobre atualizações de versão, patches de segurança e rebases automatizados em suas dependências.

Saiba mais sobre versões imutáveis e como elas podem ajudar a manter a integridade da cadeia de fornecedores de software.

O linked artifacts page ajuda você a auditar e priorizar as compilações da sua organização em GitHub, independentemente de onde os artefatos são armazenados.