Segurança da cadeia de fornecedores

GitHub ajuda você a proteger sua cadeia de suprimentos, desde a compreensão das dependências em seu ambiente até o conhecimento das vulnerabilidades nessas dependências e a aplicação de patches.

Diretrizes e recomendações para manter as dependências usadas, incluindo os produtos de segurança do GitHub que podem ser úteis.

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

A análise de dependências permite que você capture dependências não seguras antes que elas sejam introduzidas no ambiente e fornece informações sobre licença, dependências e idade das dependências.

Dependabot alerts ajuda a encontrar e corrigir dependências vulneráveis antes que elas virem riscos de segurança.

Utilize métricas para acompanhar e priorizar Dependabot alerts em toda a sua organização.

Dependabot pode corrigir dependências vulneráveis para você, levantando pull requests com atualizações de segurança.

Você pode usar o Dependabot para manter os pacotes que usa atualizados para as versões mais recentes.

Entenda as opções de frequência e personalização de solicitações pull para atualizações de versão e segurança.

O dependabot.yml controla atualizações automatizadas no seu repositório.

Controle como Dependabot lida com alertas de segurança, incluindo filtragem, ignorar, adiar ou acionar atualizações de segurança.

GitHub registra todos os trabalhos de atualização executados por Dependabot, fornecendo visibilidade sobre atualizações de versão, patches de segurança e rebases automatizados em suas dependências.

Saiba mais sobre versões imutáveis e como elas podem ajudar a manter a integridade da cadeia de fornecedores de software.