Entender tu cadena de suministro de software

GitHub te ayuda a proteger la cadena de suministro, desde comprender las dependencias de tu entorno a conocer las vulnerabilidades de dichas dependencias y aplicarles revisiones.

Puedes utilizar la gráfica de dependencias para identificar todas las dependencias de tus proyectos. La gráfica de dependencias es compatible con una variedad de ecosistemas de paquetes populares.

El gráfico de dependencias admite diversos ecosistemas.

Puedes permitir que los usuarios identifiquen las dependencias de sus proyectos si habilitas el gráfico de dependencias.

Puede usar el envío automático de dependencias para enviar datos de dependencia transitiva en el repositorio. Esto le permite analizar estas dependencias transitivas mediante el gráfico de dependencias.

Puedes exportar una lista de materiales de software o SBOM para el repositorio desde el gráfico de dependencias. Las listas de materiales de software permiten un uso de código abierto transparente y ayudan a exponer vulnerabilidades de la cadena de suministros, lo que ayuda a reducir sus riesgos.

Puedes usar la API de envío de dependencias para enviar dependencias para proyectos, como las dependencias resueltas cuando se crea o compila un proyecto.

La revisión de dependencias te permite detectar las dependencias no seguras antes de que las introduzcas en tu entorno y te proporciona información sobre la licencia, los elementos dependientes y la antigüedad de las dependencias.

Puedes usar la revisión de dependencias para detectar vulnerabilidades antes de que se agreguen al proyecto.

Aprenda a agregar una personalización básica a la configuración de revisión de dependencias.

La revisión de dependencias le permite capturar las dependencias no seguras antes de introducirlas en el entorno. Puede aplicar el uso de las variables de Acción de revisión de dependencias en toda la organización.

Puedes usar el gráfico de dependencias para ver los paquetes de los que depende tu proyecto y los repositorios que dependen de él. Adicionalmente, puedes ver cualquier vulnerabilidad que se detecte en sus dependencias.

Si la información de la dependencia que se notifica en el gráfico de dependencias no es lo que esperabas, debes tener en cuenta varias cuestiones y comprobar diversos elementos.