Como proteger suas dependências

Permita que os Dependabot alerts sejam gerados quando uma nova dependência vulnerável for encontrada em um dos repositórios.

Você pode usar Dependabot security updates ou pull requests manuais para atualizar facilmente dependências vulneráveis.

Você pode configurar seu repositório para que o Dependabot atualize automaticamente os pacotes que você usa.

Você pode usar o Dependabot para manter as ações que você utiliza atualizadas para as versões mais recentes.

Você pode permitir que os usuários identifiquem as dependências dos seus projetos habilitando o gráfico de dependências.

Você pode usar o grafo de dependência para ver os pacotes dos quais o projeto depende e os repositórios que dependem dele. Além disso, você pode ver todas as vulnerabilidades detectadas nas suas dependências.

É possível usar o envio automático de dependência para enviar os dados de dependências transitivas do seu repositório. Isso possibilita a você analisar essas dependências transitivas ao usar o grafo de dependência.

Você pode usar API de envio de dependência para enviar dependências a projetos, como as dependências resolvidas quando um projeto é criado ou compilado.

Você pode evitar adulterações e alterações acidentais garantindo que as versões usadas não tenham sido modificadas após a publicação.