了解您的软件供应链

GitHub 有助于保护供应链，通过从了解环境中的依赖项到了解这些依赖项中的漏洞并修补它们得以实现。

您可以使用依赖关系图来识别项目的所有依赖项。 依赖关系图支持一系列流行的软件包生态系统。

通过启用依赖项关系图，用户可识别其项目的依赖项。

You can export a software bill of materials or SBOM for your repository from the dependency graph. SBOMs allow transparency into your open source usage and help expose supply chain vulnerabilities, reducing supply chain risks.

可以使用依赖项提交 API 来提交项目的依赖项，例如生成或编译项目时解析的依赖项。

依赖项审查可让你在将有不安全的依赖项引入你的环境之前找到它们，并提供关于许可证、依赖项和依赖项存在时间的信息。

可以使用依赖项评审来捕获漏洞，以避免将其添加到项目中。

可以使用依赖项关系图查看项目所依赖的包以及依赖它的存储库。 此外，您还可以看到在其依赖项中检测到的任何漏洞。

如果依赖项关系图报告的依赖项信息不符合你的预期，则需要考虑许多因素，你可以检查各种问题。