Sicherheit der Lieferkette

Mit GitHub kannst du deine Lieferkette absichern – vom Verstehen der Abhängigkeiten in deiner Umgebung über die Kenntnis der Sicherheitsrisiken dieser Abhängigkeiten bis zu deren Patchen.

Leitfaden und Empfehlungen für die Verwaltung der von dir verwendeten Abhängigkeiten, einschließlich der Sicherheitsprodukte von GitHub, die dabei helfen können.

Du kannst das Abhängigkeitsdiagramm verwenden, um alle Abhängigkeiten deines Projekts zu identifizieren. Das Abhängigkeitsdiagramm unterstützt eine Reihe beliebter Paketökosysteme.

Mit der Abhängigkeitsüberprüfung kannst du unsichere Abhängigkeiten erfassen, bevor du sie in deine Umgebung einführst, und Informationen zu Lizenz, Abhängigkeiten und deren Alter bereitstellen.

Dependabot alerts helfen Ihnen, anfällige Abhängigkeiten zu finden und zu beheben, bevor sie zu Sicherheitsrisiken werden.

Dependabot kann anfällige Abhängigkeiten für dich beheben, indem Pull Requests mit Sicherheitsupdates ausgelöst werden.

Du kannst mithilfe von Dependabot deine verwendeten Pakete immer auf die neuesten Version zu aktualisieren.

Dependabot auto-triage rules sind ein leistungsstarkes Tool, das Ihnen die Verwaltung Ihrer Sicherheitswarnungen im großen Stil erleichtert. GitHub-Voreinstellungen sind Regeln, die von GitHub zusammengestellt werden, mit denen Sie eine erhebliche Menge falsch positiver Ergebnisse herausfiltern können. Mit Benutzerdefinierte Regeln für die automatische Triage lässt sich steuern, welche Warnungen ignoriert oder auf Standby gesetzt werden sollen oder ein Dependabot-Sicherheitsupdate zum Auflösen der Warnung auslösen sollen.

GitHub führt automatisch die Jobs aus, die Dependabot Pull-Anforderungen für GitHub Actions generieren, wenn GitHub Actions für das Repository aktiviert sind. Wenn Dependabot aktiviert ist, werden diese Aufträge ausgeführt, indem Actions-Richtlinienüberprüfungen und -Deaktivierung auf Repository- oder Organisationsebene umgangen werden.

Erfahre mehr über unveränderliche Releases und wie sie dabei helfen können, die Integrität deiner Softwarelieferkette aufrechtzuerhalten.