Segurança da cadeia de fornecedores

GitHub ajuda você a proteger sua cadeia de suprimentos, desde entender as dependências em seu ambiente até saber sobre vulnerabilidades nessas dependências e corrigi-las.

Diretrizes e recomendações para manter as dependências usadas, incluindo os produtos de segurança do GitHub que podem ser úteis.

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

O grafo de dependência analisa automaticamente os arquivos de manifesto. Você pode enviar dados para dependências que não podem ser detectadas automaticamente.

A revisão de dependência permite detectar dependências inseguras antes de apresentá-las ao seu ambiente e fornece informações sobre as licenças, os dependentes e a idade das dependências.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot pode corrigir dependências vulneráveis para você gerando solicitações de pull com atualizações de segurança.

Você pode usar Dependabot para manter os pacotes usados atualizados para as versões mais recentes.

Entenda as opções de frequência e personalização de solicitações pull para atualizações de versão e segurança.

O dependabot.yml controla atualizações automatizadas no seu repositório.

Controlar como Dependabot lida com alertas de segurança, incluindo filtragem, ignorar, cochilar ou disparar atualizações de segurança.

GitHub registra todos os trabalhos de atualização executados por Dependabot, fornecendo visibilidade sobre atualizações de versão, patches de segurança e rebases automatizados em suas dependências.