Seguridad de la cadena de suministro
Las características de seguridad de GitHub le ayudan a realizar un seguimiento de las dependencias de sus proyectos y de los artefactos generados.
Acerca de la seguridad de la cadena de suministro
GitHub te ayuda a proteger la cadena de suministro, desde comprender las dependencias de tu entorno hasta conocer las vulnerabilidades de dichas dependencias y aplicarles revisiones.
Procedimientos recomendados para mantener las dependencias
Instrucciones y recomendaciones para mantener las dependencias que usas, incluidos los productos de seguridad de GitHub que pueden ayudar.
Sobre el gráfico de dependencias
Puedes utilizar la gráfica de dependencias para identificar todas las dependencias de tus proyectos. La gráfica de dependencias es compatible con una variedad de ecosistemas de paquetes populares.
Acerca de la revisión de dependencias
La revisión de dependencias te permite detectar las dependencias no seguras antes de que las introduzcas en tu entorno y te proporciona información sobre la licencia, los elementos dependientes y la antigüedad de las dependencias.
Acerca de las alertas Dependabot
GitHub's security features help you keep track of your projects' dependencies and built artifacts.
Sobre las actualizaciones de seguridad de Dependabot
Dependabot puede arreglar tus dependencias vulnerables levantando solicitudes de extracción con actualizaciones de seguridad.
Acerca de las actualizaciones a la versión del Dependabot
Puede utilizar el Dependabot para mantener los paquetes que utilizas actualizados a su versión más reciente.
Acerca de Evaluación de prioridades automática de Dependabot
Evaluación de prioridades automática de Dependabot son una herramienta eficaz para ayudarle a administrar mejor las alertas de seguridad a gran escala. Valores preestablecidos de GitHub son reglas mantenidas por GitHub que puede usar para filtrar una cantidad sustancial de falsos positivos. Reglas de evaluación de prioridades automática personalizadas proporcionan control sobre qué alertas se omiten, se posponen o desencadenan una actualización de seguridad de Dependabot para resolver la alerta.
Acerca de Dependabot en ejecutores de Acciones de GitHub
GitHub ejecuta automáticamente los trabajos que generan solicitudes de incorporación de cambios de Dependabot en GitHub Actions si tiene GitHub Actions habilitados para el repositorio. Cuando Dependabot está habilitado, estos trabajos se ejecutarán omitiendo las comprobaciones de directivas de Acciones y la deshabilitación en el nivel del repositorio o la organización.
Versiones inmutables
Obtén información sobre las versiones inmutables y cómo pueden ayudarte a mantener la integridad de la cadena de suministro de software.