供应链安全

GitHub 有助于保护供应链，从了解环境中的依赖项到了解这些依赖项中的漏洞，以及修补这些漏洞。

有关维护你所使用依赖项的指南和建议，包括可帮助提升安全性的 GitHub 安全产品。

您可以使用依赖关系图来识别项目的所有依赖项。 依赖关系图支持一系列流行的软件包生态系统。

依赖项图会自动分析清单文件。 可以提交无法自动检测到的依赖项的数据。

依赖项评审 允许在将依赖项引入环境之前捕获不安全的依赖项，并提供有关许可证、依赖项和依赖项年龄的信息。

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts 帮助你识别依赖项中的恶意软件，以保护项目及其用户。

使用指标跟踪和确定整个组织的优先级 Dependabot alerts 。

Dependabot 可以通过发起包含安全更新的拉取请求，为您修复存在漏洞的依赖项。

你可以使用 Dependabot 来使你使用的软件包保持更新到最新版本。

了解版本和安全更新的拉取请求频率及其自定义选项。

多生态系统更新将多个包生态系统中的依赖项更新合并为单个拉取请求，减少评审开销并简化更新工作流。

dependabot.yml 控制存储库中的自动依赖项更新。

Dependabot控制如何处理安全警报，包括筛选、忽略、阻止或触发安全更新。

GitHub如果该仓库已启用Dependabot，则会自动运行在GitHub Actions上生成GitHub Actions拉取请求的作业。 启用 Dependabot 后，这些作业将在运行时绕过存储库或组织级别的 Actions 策略检查和禁用限制。

GitHub 记录 Dependabot 运行的每个更新作业，让你能够了解各个依赖项的版本更新、安全修补程序和自动变基。

了解不可变版本以及它们如何帮助维护软件供应链的完整性。

linked artifacts page 帮助你在 GitHub 上审计并优先处理组织的构建，无论制品存储在哪里。