Изучение цепочки поставок программного обеспечения

GitHub Enterprise Cloud помогает защитить цепочку поставок, от понимания зависимостей в вашей среде до знания об уязвимостях в этих зависимостях и их исправлении.

Граф зависимостей можно использовать для обнаружения всех зависимостей проекта. Граф зависимостей поддерживает ряд популярных экосистем пакетов.

Вы можете разрешить пользователям определять зависимости проектов, включив граф зависимостей.

Вы можете экспортировать счет за программное обеспечение материалов или SBOM для репозитория из граф зависимостей. SBOMs позволяют прозрачность использования открытый код и помогают предоставлять уязвимости в цепочке поставок, уменьшая риски цепочки поставок.

Можно использовать API отправки зависимостей для отправки зависимостей для проектов, например зависимостей, разрешенных при создании или компиляции проекта.

Проверка зависимостей позволяет перехватывать небезопасные зависимости до того, как они попадут в среду выполнения, и получать сведения о лицензиях, зависимых элементах и сроке существования зависимостей.

Вы можете использовать проверку зависимостей для перехвата уязвимостей перед их добавлением в проект.

Граф зависимостей позволяет выяснить, от каких пакетов зависит ваш проект и какие репозитории зависят от этого проекта. Кроме того, вы сможете узнать, какие уязвимости обнаружены в его зависимостях.

Если от графа зависимостей получены неожиданные сведения о зависимостях, следует учесть несколько важных аспектов и проверить несколько параметров.