Sécurité de la chaîne d’approvisionnement

GitHub vous aide à sécuriser votre chaîne d’approvisionnement, de comprendre les dépendances dans votre environnement, à connaître les vulnérabilités de ces dépendances et à les corriger.

Conseils et recommandations pour maintenir les dépendances que vous utilisez, y compris les produits de sécurité de GitHub qui peuvent vous aider.

Vous pouvez utiliser le graphe des dépendances pour identifier toutes les dépendances de votre projet. Le graphe des dépendances prend en charge une gamme d’écosystèmes de packages populaires.

Le graphique de dépendance analyse automatiquement les fichiers manifestes. Vous pouvez envoyer des données pour les dépendances qui ne peuvent pas être détectées automatiquement.

La révision des dépendances vous permet d’intercepter les dépendances non sécurisées avant de les introduire dans votre environnement et fournit des informations sur la licence, les dépendants et l’âge des dépendances.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts aider à identifier les malwares dans vos dépendances pour protéger votre projet et ses utilisateurs.

Utilisez des métriques pour suivre et hiérarchiser Dependabot alerts l’ensemble de votre organisation.

Dependabot peut corriger pour vous les dépendances vulnérables en créant des pull requests contenant des mises à jour de sécurité.

Vous pouvez utiliser Dependabot pour conserver les packages que vous utilisez mis à jour vers les dernières versions.

Comprendre la fréquence et les options de personnalisation des pull requests pour les mises à jour de version et de sécurité.

Les mises à jour multi-écosystèmes combinent les mises à jour des dépendances dans plusieurs écosystèmes de packages en une seule pull request, réduisant la surcharge lors de la révision et simplifiant votre flux de mise à jour.

Contrôle les dependabot.yml mises à jour des dépendances automatisées dans votre référentiel.

Contrôlez la façon dont Dependabot gère les alertes de sécurité, notamment pour les filtrer, les ignorer, les mettre temporairement en veille ou déclencher des mises à jour de sécurité.

GitHub exécute automatiquement les tâches qui génèrent des Dependabot pull requests sur GitHub Actions si vous avez activé GitHub Actions pour le dépôt. Lorsque Dependabot est activé, ces tâches s’exécutent en contournant les vérifications des stratégies Actions ainsi que la désactivation au niveau du dépôt ou de l’organisation.

GitHub enregistre toutes les tâches de mise à jour exécutées par Dependabot, vous donnant une visibilité sur les mises à jour de version, les correctifs de sécurité et les rebases automatiques de vos dépendances.

Découvrez les versions immuables et comment elles peuvent vous aider à maintenir l’intégrité de votre chaîne d’approvisionnement logicielle.

linked artifacts page vous permet d’auditer et de prioriser les builds de votre organisation sur GitHub, indépendamment de l’emplacement de stockage des artefacts.