Skip to main content

了解您的软件供应链

关于供应链安全性

GitHub 帮助你了解环境中的依赖项、了解这些依赖项中的漏洞并修补它们,最终可保护供应链。

关于依赖关系图

您可以使用依赖关系图来识别项目的所有依赖项。 依赖关系图支持一系列流行的软件包生态系统。

依赖项关系图支持的包生态系统

依赖项关系图支持各种生态系统。

配置依赖项关系图

通过启用依赖项关系图,用户可识别其项目的依赖项。

为存储库配置自动依赖项提交

可使用自动依赖项提交来提交存储库中的可转移依赖项数据。 这使你能够使用依赖项关系图分析这些可转移依赖项。

导出存储库的软件物料清单

可以从依赖项关系图导出存储库的软件物料清单 (SBOM)。 SBOM 可实现开放源代码使用情况透明化,并有助于暴露供应链漏洞,从而降低供应链风险。

使用依赖项提交 API

可以使用 依赖项提交 API 来提交项目的依赖项,例如生成或编译项目时解析的依赖项。

关于依赖项评审

依赖项审查可让你在将有不安全的依赖项引入你的环境之前找到它们,并提供关于许可证、依赖项和依赖项存在时间的信息。

配置依赖项评审操作

可以使用 依赖项审查操作 来捕获漏洞,以避免将其添加到项目中。

自定义依赖项评审操作配置

了解如何为依赖项评审操作配置添加基本自定义。

在整个组织内强制实施依赖项审查

依赖项审查允许在将不安全的依赖项引入环境之前发现它们。 可以在整个组织中强制使用 依赖项审查操作。

探索仓库的依赖项

可以使用依赖项关系图查看项目所依赖的包以及依赖它的存储库。 此外,您还可以看到在其依赖项中检测到的任何漏洞。

依赖关系图疑难排解

如果依赖项关系图报告的依赖项信息不符合你的预期,则需要考虑许多因素,你可以检查各种问题。