依存関係のセキュリティ保護

新しい脆弱な依存関係がいずれかのリポジトリに見つかった場合に、Dependabot alertsが生成されるようにします。

Dependabot security updates または手動のプルリクエストを使用して、脆弱性のある依存関係を簡単に更新できます。

Dependabot が使用するパッケージを自動的に更新するようにリポジトリを設定できます。

Dependabot を使用して、使用するアクションを最新バージョンに更新しておくことができます。

依存関係グラフを有効にすることで、ユーザーはプロジェクトの依存関係を識別できます。

依存関係グラフを使用すると、プロジェクトが依存しているパッケージと、そのプロジェクトに依存しているリポジトリを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。

依存関係の自動送信を使用して、リポジトリ内の推移的依存関係データを送信できます。 これにより、依存関係グラフを使用してこれらの推移的依存関係を分析できます。

依存関係送信 API を使うと、プロジェクトがビルドまたはコンパイルされるときに解決される依存関係などのプロジェクトの依存関係を送信できます。

使うリリースが公開後に変更されていないことを確認することで、改ざんや偶発的な変更を回避できます。