Skip to main content

Изучение цепочки поставок программного обеспечения

Сведения о безопасности цепочки поставок

GitHub Enterprise Cloud помогает защитить цепочку поставок, от понимания зависимостей в вашей среде до знания об уязвимостях в этих зависимостях и их исправлении.

Сведения о графе зависимостей

Граф зависимостей можно использовать для обнаружения всех зависимостей проекта. Граф зависимостей поддерживает ряд популярных экосистем пакетов.

Поддерживаемые экосистемы пакетов графа зависимостей

Граф зависимостей поддерживает различные экосистемы.

Настройка графа зависимостей

Вы можете разрешить пользователям определять зависимости проектов, включив граф зависимостей.

Настройка автоматической отправки зависимостей для репозитория

Вы можете использовать автоматическую отправку зависимостей для отправки транзитивных данных зависимостей в репозитории. Это позволяет анализировать эти транзитивные зависимости с помощью граф зависимостей.

Экспорт программного счета за материалы для репозитория

Вы можете экспортировать счет за программное обеспечение материалов или SBOM для репозитория из граф зависимостей. SBOMs позволяют прозрачность использования открытый код и помогают предоставлять уязвимости в цепочке поставок, уменьшая риски цепочки поставок.

Использование API отправки зависимостей

Можно использовать API отправки зависимостей для отправки зависимостей для проектов, например зависимостей, разрешенных при создании или компиляции проекта.

Сведения о проверке зависимостей

Проверка зависимостей позволяет перехватывать небезопасные зависимости до того, как они попадут в среду выполнения, и получать сведения о лицензиях, зависимых элементах и сроке существования зависимостей.

Настройка действия проверки зависимостей

Чтобы поймать уязвимости перед добавлением в проект, можно использовать переменные данных Действие проверки зависимостей.

Настройка конфигурации действия проверки зависимостей

Узнайте, как добавить базовую настройку в конфигурацию действия проверки зависимостей.

Применение проверки зависимостей в организации

Проверка зависимостей позволяет перехватывать небезопасные зависимости перед их вводом в среду. Вы можете применить Действие проверки зависимостей в организации.

Изучение зависимостей репозитория

Граф зависимостей позволяет выяснить, от каких пакетов зависит ваш проект и какие репозитории зависят от этого проекта. Кроме того, вы сможете узнать, какие уязвимости обнаружены в его зависимостях.

Устранение неполадок графа зависимостей

Если от графа зависимостей получены неожиданные сведения о зависимостях, следует учесть несколько важных аспектов и проверить несколько параметров.