Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
В настоящее время GitHub AE находится в ограниченном выпуске.

Сведения о безопасности цепочки поставок

GitHub AE помогает защитить цепочку поставок от понимания зависимостей в вашей среде до сведений об уязвимостях в этих зависимостях.

Сведения о безопасности цепочки поставок на GitHub

Благодаря все возрастающему использованию открытого кода большинство проектов опирается на сотни зависимостей с открытым кодом. Это создает проблему безопасности: что, если зависимости, которые вы используете, имеют уязвимости? Вы можете подвергнуть пользователей риску атаки через цепочку поставок. Одной из самых важных вещей, которые вы можете применить для защиты цепочки поставок, является исправление уязвимых зависимостей.

Вы добавляете зависимости непосредственно в цепочку поставок, когда указываете их в файле манифеста или файле блокировки. Зависимости также могут быть включены транзитивно, то есть, даже если вы не указываете конкретную зависимость, но ваша зависимость использует ее, вы также зависите от этой зависимости.

GitHub AE предлагает ряд функций, которые помогут вам понять зависимости в вашей среде и узнать об уязвимостях в этих зависимостях.

В GitHub AE существуют следующие возможности цепочки поставок.

  • Граф зависимостей
  • Проверка зависимостей
  • Dependabot alerts

Граф зависимостей занимает центральное место в обеспечении безопасности цепочки поставок. Граф зависимостей определяет все вышестоящие зависимости и общедоступные нижестоящие зависимости репозитория или пакета. Вы можете просматривать зависимости вашего репозитория и некоторые их свойства, такие как сведения об уязвимостях, на графе зависимостей репозитория.

Другие возможности цепочки поставок в GitHub зависят от сведений, предоставляемых графом зависимостей.

  • Проверка зависимостей использует граф зависимостей для определения изменений зависимостей и помогает понять влияние этих изменений на безопасность при проверке запросов на вытягивание.
  • Dependabot сопоставляет данные о зависимостях, предоставленные графом зависимостей, со списком рекомендаций, опубликованным в GitHub Advisory Database, сканирует ваши зависимости и создает Dependabot alerts при обнаружении потенциальной уязвимости.

Обзор возможностей

Что такое граф зависимостей

Чтобы создать граф зависимостей, GitHub просматривает явные зависимости репозитория, объявленные в файлах манифеста и блокировки. Если этот параметр включен, граф зависимостей автоматически анализирует все известные файлы манифеста пакетов в репозитории и использует их для построения графа с известными именами и версиями зависимостей.

  • Граф зависимостей содержит сведения о ваших прямых и транзитивных зависимостях.
  • Граф зависимостей автоматически обновляется, когда вы отправляете в GitHub фиксацию, которая изменяет или добавляет поддерживаемый файл манифеста или блокировки в ветвь по умолчанию, а также когда кто-либо отправляет в репозиторий изменение одной из ваших зависимостей.
  • Чтобы просмотреть граф зависимостей, откройте главную страницу репозитория в GitHub AE и перейдите на вкладку Аналитика.

Дополнительные сведения о графе зависимостей см. в разделе Сведения о графе зависимостей.

Что такое проверка зависимостей

Проверка зависимостей помогает рецензентам и участникам разобраться в изменениях зависимостей и понять их влияние на безопасность в каждом запросе на вытягивание.

  • Проверка зависимостей сообщает, какие зависимости были добавлены, удалены или обновлены в запросе на вытягивание. Вы можете использовать даты выпуска, популярность зависимостей и сведения об уязвимостях, чтобы решить, следует ли принять изменение.
  • Чтобы просмотреть проверку зависимостей для запроса на вытягивание, откройте расширенный инструмент сравнения на вкладке Измененные файлы.

Дополнительные сведения о проверке зависимостей см. в разделе Сведения о проверке зависимостей.

Что такое Dependabot

Dependabot поддерживает ваши зависимости в актуальном состоянии, информируя вас об уязвимостях системы безопасности в зависимостях, чтобы можно было обновить эту зависимость.

GitHub Actions не требуется для выполнения Dependabot alerts в GitHub AE.

Что такое оповещения Dependabot

Dependabot alerts выделяют репозитории, затронутые недавно обнаруженной уязвимостью, на основе графа зависимостей и GitHub Advisory Database, где содержатся рекомендации по всем известным уязвимостям.

  • Dependabot выполняет сканирование для обнаружения небезопасных зависимостей и отправляет Dependabot alerts, когда происходит следующее.
  • Dependabot alerts отображаются в графе зависимостей репозитория. Оповещение содержит сведения об исправленной версии.

Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

Доступность функций

  • Граф зависимостей и Dependabot alerts  — не включены по умолчанию. Обе возможности настраиваются на уровне предприятия владельцем предприятия. Дополнительные сведения см. в разделах "Включение Dependabot для предприятия".
  • Проверка зависимостей доступна, если граф зависимостей включен для ваше предприятие и Advanced Security включен для организации или репозитория. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.