Skip to main content

Compréhension de votre chaîne d’approvisionnement logicielle

À propos de la sécurité de la chaîne d’approvisionnement

GitHub vous aide à sécuriser votre chaîne d’approvisionnement, en comprenant les dépendances de votre environnement et en connaissant les vulnérabilités de ces dépendances, puis en les corrigeant.

À propos du graphe de dépendances

Vous pouvez utiliser le graphe des dépendances pour identifier toutes les dépendances de votre projet. Le graphe des dépendances prend en charge une gamme d’écosystèmes de packages populaires.

Écosystèmes de packages pris en charge pour le graphe des dépendances

Le graphe des dépendances prend en charge un large éventail d’écosystèmes.

Configuration du graphe de dépendances

Vous pouvez autoriser les utilisateurs à identifier les dépendances de leurs projets en activant le graphe des dépendances.

Configuration de la soumission automatique des dépendances pour votre dépôt

Vous pouvez utiliser la soumission automatique des dépendances pour envoyer des données de dépendance transitives dans votre dépôt. Cela vous permet d’analyser ces dépendances transitives à l’aide du graphe des dépendances.

Exportation d’une nomenclature logicielle pour votre dépôt

Vous pouvez exporter une nomenclature logicielle (ou nomenclature SBOM) pour votre dépôt à partir du graphe de dépendances. Les nomenclatures SBOM apportent de la transparence à votre utilisation de l’open source et aident à exposer les vulnérabilités de la chaîne logistique, réduisant ainsi les risques liés à celle-ci.

Utilisation de l’API de soumission de dépendances

Vous pouvez utiliser l’API API de soumission de dépendances pour soumettre des dépendances pour des projets, telles que celles résolues lors de la génération ou la compilation d’un projet.

À propos de la vérification des dépendances

La révision des dépendances vous permet d’intercepter les dépendances non sécurisées avant de les introduire dans votre environnement et fournit des informations sur la licence, les dépendants et l’âge des dépendances.

Configuration de la révision des dépendances

Vous pouvez utiliser la révision des dépendances pour intercepter les vulnérabilités avant qu’elles ne soient ajoutées à votre projet.

Personnalisation de la configuration de l’action de révision des dépendances

Découvrez comment ajouter une personnalisation de base à votre configuration de révision des dépendances.

Application de la révision des dépendances à travers une organisation

La révision des dépendances vous permet d’iIntercepter les dépendances non sécurisées avant de les introduire dans votre environnement. Vous pouvez appliquer l’utilisation de action de révision des dépendances au sein de votre organisation.

Exploration des dépendances d’un dépôt

Vous pouvez utiliser le graphique de dépendances pour afficher les packages dont dépend votre projet et les référentiels qui dépendent de celui-ci. En outre, vous pouvez voir l’ensemble des vulnérabilités détectées dans ses dépendances.

Résolution des problèmes liés au graphe de dépendances

Si les informations de dépendance signalées par le graphe des dépendances ne sont pas ce que vous attendez, il existe un certain nombre de points à prendre en compte et diverses choses que vous pouvez vérifier.