サプライ チェーンのセキュリティ

GitHub は、環境内の依存関係の理解から、それらの依存関係の脆弱性の把握、パッチ適用まで、サプライ チェーンをセキュリティで保護するのに役立ちます。

GitHub のセキュリティ製品など、使っている依存関係を維持するために役立つガイダンスと推奨事項です。

依存関係グラフを使って、プロジェクトの依存関係をすべて特定できます。 依存関係グラフは、幅広く一般的なパッケージエコシステムをサポートします。

依存関係のレビューを使うと、安全でない依存関係を自分の環境に持ち込んでしまう前に捉え、ライセンス、依存物、依存関係の期間に関する情報を確認できます。

Dependabot alerts は、セキュリティ リスクになる前に、脆弱な依存関係を見つけて修正するのに役立ちます。

Dependabot は、セキュリティアップデートプログラムを使用して pull request を発行することにより、脆弱性のある依存関係を修正できます。

Dependabot を使用して、使用するパッケージを最新バージョンに更新しておくことができます。

Dependabot 自動トリアージ ルール は、大規模なセキュリティ アラートをより適切に管理するのに役立つ強力なツールです。 GitHub プリセット は、GitHub によって厳選されたルールで、大量の誤検知を絞り込みするために使用できます。 カスタム自動トリアージ ルール では、どのアラートを無視するか、スヌーズするか、または Dependabotの セキュリティ更新プログラムをトリガーしてそのアラートを解決するかを制御できます。

リポジトリで GitHub Actions が有効になっている場合、GitHub は Dependabot のプル要求を生成するジョブを GitHub Actions で自動的に実行します。 Dependabot が有効になっている場合、これらのジョブはリポジトリまたは Organization レベルで設定された Actions ポリシー チェックや無効化をバイパスして実行されます。

変更不可リリースと、それらがソフトウェア サプライ チェーンの整合性を維持するためにどのように役立つかについて説明します。