Segurança da cadeia de fornecedores
Os recursos de segurança GitHub ajudam você a monitorar as dependências e os artefatos compilados de seus projetos.
Sobre a segurança da cadeia de suprimento
GitHub ajuda você a proteger sua cadeia de suprimentos, desde a compreensão das dependências em seu ambiente até o conhecimento das vulnerabilidades nessas dependências e a aplicação de patches.
Melhores práticas de manutenção de dependências
Diretrizes e recomendações para manter as dependências usadas, incluindo os produtos de segurança do GitHub que podem ser úteis.
Sobre o gráfico de dependências
Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.
Sobre a análise de dependência
A análise de dependências permite que você capture dependências não seguras antes que elas sejam introduzidas no ambiente e fornece informações sobre licença, dependências e idade das dependências.
Sobre alertas do Dependabot
Dependabot alerts ajuda a encontrar e corrigir dependências vulneráveis antes que elas virem riscos de segurança.
Sobre as métricas para alertas do Dependabot
Utilize métricas para acompanhar e priorizar Dependabot alerts em toda a sua organização.
Sobre as atualizações de segurança do Dependabot
Dependabot pode corrigir dependências vulneráveis para você, levantando pull requests com atualizações de segurança.
Sobre as atualizações da versão do Dependabot
Você pode usar o Dependabot para manter os pacotes que usa atualizados para as versões mais recentes.
Sobre solicitações de pull do Dependabot
Entenda as opções de frequência e personalização de solicitações pull para atualizações de versão e segurança.
Sobre o arquivo dependabot.yml
O dependabot.yml controla atualizações automatizadas no seu repositório.
Sobre as regras de triagem automática do Dependabot
Controle como Dependabot lida com alertas de segurança, incluindo filtragem, ignorar, adiar ou acionar atualizações de segurança.
Sobre o Dependabot em executores do GitHub Actions
GitHub executa automaticamente os trabalhos que geram pull requests do Dependabot em GitHub Actions se você tiver GitHub Actions habilitado para o repositório. Quando Dependabot estiver habilitado, esses trabalhos serão executados ignorando as verificações de política de ações e a desabilitação no nível do repositório ou da organização.
Logs de 'Dependabot'
GitHub registra todos os trabalhos de atualização executados por Dependabot, fornecendo visibilidade sobre atualizações de versão, patches de segurança e rebases automatizados em suas dependências.
Versões imutáveis
Saiba mais sobre versões imutáveis e como elas podem ajudar a manter a integridade da cadeia de fornecedores de software.
Sobre artefatos vinculados
O linked artifacts page ajuda você a auditar e priorizar os builds da sua organização em GitHub, independentemente de onde os artefatos são armazenados.