Entender sua cadeia de suprimentos de software

O GitHub ajuda você a proteger a cadeia de fornecedores, oferecendo desde o entendimento das dependências do ambiente até a identificação de vulnerabilidades nessas dependências e aplicação de patch nelas.

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

Você pode permitir que os usuários identifiquem as dependências dos seus projetos habilitando o gráfico de dependências.

Você pode exportar uma SBOM ou uma lista de materiais de software para seu repositório por meio do grafo de dependência. As SBOMs permitem transparência no seu uso de código aberto e ajudam a expor vulnerabilidades da cadeia de fornecedores, reduzindo os riscos da cadeia de fornecedores.

Você pode usar API de envio de dependência para enviar dependências a projetos, como as dependências resolvidas quando um projeto é criado ou compilado.

A análise de dependências permite que você capture dependências não seguras antes que elas sejam introduzidas no ambiente e fornece informações sobre licença, dependências e idade das dependências.

Você pode usar a análise de dependência para capturar vulnerabilidades antes que elas sejam adicionadas ao projeto.

Você pode usar o grafo de dependência para ver os pacotes dos quais o projeto depende e os repositórios que dependem dele. Além disso, você pode ver todas as vulnerabilidades detectadas nas suas dependências.

Se as informações de dependências relatadas pelo gráfico de dependências não é o que você esperava, há uma série de pontos a considerar e várias coisas que você pode verificar.