サプライ チェーンのセキュリティ

GitHub は、環境内の依存関係の理解から、それらの依存関係の脆弱性の把握やパッチの適用まで、サプライ チェーンをセキュリティで保護するのに役立ちます。

GitHub のセキュリティ製品など、使っている依存関係を維持するために役立つガイダンスと推奨事項です。

依存関係グラフを使って、プロジェクトの依存関係をすべて特定できます。 依存関係グラフは、幅広く一般的なパッケージエコシステムをサポートします。

依存関係のレビューを使うと、安全でない依存関係を自分の環境に持ち込んでしまう前に捉え、ライセンス、依存物、依存関係の期間に関する情報を確認できます。

Dependabot alerts は、セキュリティ リスクになる前に、脆弱な依存関係を見つけて修正するのに役立ちます。

Dependabot は、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱性のある依存関係を修正できます。

Dependabot を使用して、使用するパッケージを最新バージョンに更新しておくことができます。

バージョンとセキュリティ更新プログラムのプル要求の頻度とカスタマイズ オプションについて理解します。

          `dependabot.yml`は、リポジトリ内の依存関係の自動更新を制御します。

Dependabot 自動トリアージ ルール は、大規模なセキュリティ アラートをより適切に管理するのに役立つ強力なツールです。 GitHub プリセット は、GitHub によってキュレーション済みのルールで、大量の偽陽性を除外する目的で使用できます。 カスタム自動トリアージ ルール は、どのアラートを無視するか、再通知するか、または Dependabot というセキュリティ更新プログラムをトリガーしてそのアラートを解決するか、という制御を実現します。

リポジトリで GitHub Actions が有効になっている場合、GitHub は Dependabot のプル要求を生成するジョブを GitHub Actions で自動的に実行します。 Dependabot が有効になっている場合、これらのジョブはリポジトリまたは Organization レベルで設定された Actions ポリシー チェックや無効化をバイパスして実行されます。

変更不可リリースと、それらがソフトウェア サプライ チェーンの整合性を維持するためにどのように役立つかについて説明します。

linked artifacts page は、アーティファクトの保存先に関係なく、GitHub で組織のビルドを監査して優先付けをするのに役立ちます。