Segurança da cadeia de fornecedores

GitHub ajuda você a proteger sua cadeia de suprimentos, desde a compreensão das dependências em seu ambiente até o conhecimento das vulnerabilidades nessas dependências e a aplicação de patches.

Diretrizes e recomendações para manter as dependências usadas, incluindo os produtos de segurança do GitHub que podem ser úteis.

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

A análise de dependências permite que você capture dependências não seguras antes que elas sejam introduzidas no ambiente e fornece informações sobre licença, dependências e idade das dependências.

Dependabot alerts ajuda a encontrar e corrigir dependências vulneráveis antes que elas virem riscos de segurança.

Dependabot pode corrigir dependências vulneráveis para você, levantando pull requests com atualizações de segurança.

Você pode usar o Dependabot para manter os pacotes que usa atualizados para as versões mais recentes.

As Regras de triagem automática do Dependabot são uma ferramenta poderosa para ajudar você a gerenciar melhor seus alertas de segurança em escala. Predefinições do GitHub são regras coletadas por GitHub que podem ser usadas para filtrar uma quantidade substancial de falsos positivos. As Regras de triagem automática personalizadas fornecem controle sobre quais alertas são ignorados, colocados em ociosidade ou quais acionam uma atualização de segurança para o Dependabot de modo a resolver o alerta.

GitHub executa automaticamente os trabalhos que geram pull requests do Dependabot em GitHub Actions se você tiver GitHub Actions habilitado para o repositório. Quando Dependabot estiver habilitado, esses trabalhos serão executados ignorando as verificações de política de ações e a desabilitação no nível do repositório ou da organização.

Saiba mais sobre versões imutáveis e como elas podem ajudar a manter a integridade da cadeia de fornecedores de software.