供应链安全

GitHub 有助于保护供应链，从了解环境中的依赖项到了解这些依赖项中的漏洞，以及修补这些漏洞。

有关维护你所使用依赖项的指南和建议，包括可帮助提升安全性的 GitHub 安全产品。

您可以使用依赖关系图来识别项目的所有依赖项。 依赖关系图支持一系列流行的软件包生态系统。

依赖项图会自动分析清单文件。 可以提交无法自动检测到的依赖项的数据。

依赖项评审 允许在将依赖项引入环境之前捕获不安全的依赖项，并提供有关许可证、依赖项和依赖项年龄的信息。

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

使用指标跟踪和确定整个组织的优先级 Dependabot alerts 。

Dependabot 可以通过发起包含安全更新的拉取请求，为您修复存在漏洞的依赖项。

你可以使用 Dependabot 来使你使用的软件包保持更新到最新版本。

了解版本和安全更新的拉取请求频率及其自定义选项。

dependabot.yml 控制存储库中的自动依赖项更新。

Dependabot控制如何处理安全警报，包括筛选、忽略、阻止或触发安全更新。

GitHub 记录 Dependabot 运行的每个更新作业，让你能够了解各个依赖项的版本更新、安全修补程序和自动变基。

了解不可变版本以及它们如何帮助维护软件供应链的完整性。