Segurança da cadeia de fornecedores

GitHub helps you secure your supply chain, from understanding the dependencies in your environment, to knowing about vulnerabilities in those dependencies, and patching them.

Diretrizes e recomendações para manter as dependências usadas, incluindo os produtos de segurança do GitHub que podem ser úteis.

You can use the dependency graph to identify all your project's dependencies. The dependency graph supports a range of popular package ecosystems.

O grafo de dependência analisa automaticamente os arquivos de manifesto. Você pode enviar dados para dependências que não podem ser detectadas automaticamente.

Dependency review lets you catch insecure dependencies before you introduce them to your environment, and provides information on license, dependents, and age of dependencies.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Use metrics to track and prioritize Dependabot alerts across your organization.

Dependabot can fix vulnerable dependencies for you by raising pull requests with security updates.

You can use Dependabot to keep the packages you use updated to the latest versions.

Understand the frequency and customization options of pull requests for version and security updates.

O dependabot.yml controla atualizações automatizadas no seu repositório.

Control how Dependabot handles security alerts, including filtering, ignoring, snoozing, or triggering security updates.

GitHub registra todos os trabalhos de atualização executados por Dependabot, fornecendo visibilidade sobre atualizações de versão, patches de segurança e rebases automatizados em suas dependências.

Saiba mais sobre versões imutáveis e como elas podem ajudar a manter a integridade da cadeia de fornecedores de software.