Entender sua cadeia de suprimentos de software
Sobre a segurança da cadeia de suprimento
O GitHub ajuda você a proteger a cadeia de fornecedores, oferecendo desde o entendimento das dependências do ambiente até a identificação de vulnerabilidades nessas dependências e aplicação de patch nelas.
Sobre o gráfico de dependências
Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.
Ecossistemas de pacotes com suporte para grafos de dependência
O grafo de dependência aceita vários ecossistemas.
Configurando o grafo de dependência
Você pode permitir que os usuários identifiquem as dependências dos seus projetos habilitando o gráfico de dependências.
Configuração do envio automático de dependência para o repositório
É possível usar o envio automático de dependência para enviar dados de dependências transitivas do seu repositório. Isso possibilita a você analisar essas dependências transitivas ao usar o grafo de dependência.
Como exportar uma lista de materiais de software para seu repositório
Você pode exportar uma SBOM ou uma lista de materiais de software para seu repositório por meio do grafo de dependência. As SBOMs permitem transparência no seu uso de código aberto e ajudam a expor vulnerabilidades da cadeia de fornecedores, reduzindo os riscos da cadeia de fornecedores.
Usar a API de envio de dependências
Você pode usar API de envio de dependência para enviar dependências a projetos, como as dependências resolvidas quando um projeto é criado ou compilado.
Sobre a análise de dependência
A análise de dependências permite que você capture dependências não seguras antes que elas sejam introduzidas no ambiente e fornece informações sobre licença, dependências e idade das dependências.
Configurando a ação de revisão de dependência
Você pode usar o ação de revisão de dependência para detectar vulnerabilidades antes que elas sejam adicionadas ao projeto.
Personalizando sua configuração de ação de revisão de dependência
Saiba como adicionar uma personalização básica à sua configuração de ação de revisão de dependência.
Aplicando a revisão de dependência em uma organização
A revisão de dependências permite que você detecte dependências inseguras antes de introduzi-las em seu ambiente. Você pode impor o uso do ação de revisão de dependência em toda a sua organização.
Explorar as dependências de um repositório
Você pode usar o grafo de dependência para ver os pacotes dos quais o projeto depende e os repositórios que dependem dele. Além disso, você pode ver todas as vulnerabilidades detectadas nas suas dependências.
Solução de problemas para o gráfico de dependências
Se as informações de dependências relatadas pelo gráfico de dependências não é o que você esperava, há uma série de pontos a considerar e várias coisas que você pode verificar.