サプライ チェーンのセキュリティ

GitHub は、環境内の依存関係の理解から、それらの依存関係の脆弱性の把握やパッチの適用まで、サプライ チェーンをセキュリティで保護するのに役立ちます。

GitHub のセキュリティ製品など、使っている依存関係を維持するために役立つガイダンスと推奨事項です。

依存関係グラフを使って、プロジェクトの依存関係をすべて特定できます。 依存関係グラフは、幅広く一般的なパッケージエコシステムをサポートします。

依存関係グラフでは、マニフェスト ファイルが自動的に分析されます。 自動的に検出できない依存関係のデータを送信できます。

依存関係のレビューを使うと、安全でない依存関係を自分の環境に持ち込んでしまう前に捉え、ライセンス、依存物、依存関係の期間に関する情報を確認できます。

Dependabot alerts は、セキュリティ リスクになる前に、脆弱な依存関係を見つけて修正するのに役立ちます。

Dependabot malware alerts help you identify malware in your dependencies to protect your project and its users.

メトリックを使用して、組織全体で Dependabot alerts を追跡し、優先順位を決定します。

Dependabot は、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱性のある依存関係を修正できます。

Dependabot を使用して、使用するパッケージを最新バージョンに更新しておくことができます。

バージョンとセキュリティ更新プログラムのプル要求の頻度とカスタマイズ オプションについて理解します。

複数のエコシステムの更新では、複数のパッケージ エコシステムにわたる依存関係の更新が 1 つのプル要求に結合されるため、レビューのオーバーヘッドが削減され、更新ワークフローが簡素化されます。

          `dependabot.yml`は、リポジトリ内の依存関係の自動更新を制御します。

Dependabot はセキュリティアラートを処理する方法を制御します。これには、フィルタリング、無視、スヌーズ、またはセキュリティ更新のトリガーを含むさまざまな操作が含まれます。

リポジトリで GitHub Actions が有効になっている場合、GitHub は Dependabot のプル要求を生成するジョブを GitHub Actions で自動的に実行します。 Dependabot が有効になっている場合、これらのジョブはリポジトリまたは Organization レベルで設定された Actions ポリシー チェックや無効化をバイパスして実行されます。

GitHub は、 Dependabot によって実行されるすべての更新ジョブをログに記録し、バージョンの更新プログラム、セキュリティ パッチ、および依存関係全体の自動リベースを可視化します。

変更不可リリースと、それらがソフトウェア サプライ チェーンの整合性を維持するためにどのように役立つかについて説明します。

linked artifacts page は、アーティファクトの保存先に関係なく、GitHub で組織のビルドを監査して優先付けをするのに役立ちます。