Skip to main content

了解您的软件供应链

关于供应链安全性

GitHub 有助于保护供应链,通过从了解环境中的依赖项到了解这些依赖项中的漏洞并修补它们得以实现。

关于依赖关系图

您可以使用依赖关系图来识别项目的所有依赖项。 依赖关系图支持一系列流行的软件包生态系统。

配置依赖项关系图

通过启用依赖项关系图,用户可识别其项目的依赖项。

导出存储库的软件物料清单

可以从依赖项关系图导出存储库的软件物料清单 (SBOM)。 SBOM 可实现开放源代码使用情况透明化,并有助于暴露供应链漏洞,从而降低供应链风险。

使用依赖项提交 API

可以使用依赖项提交 API 来提交项目的依赖项,例如生成或编译项目时解析的依赖项。

关于依赖项评审

依赖项审查可让你在将有不安全的依赖项引入你的环境之前找到它们,并提供关于许可证、依赖项和依赖项存在时间的信息。

配置依赖项审查

可以使用依赖项评审来捕获漏洞,以避免将其添加到项目中。

探索仓库的依赖项

可以使用依赖项关系图查看项目所依赖的包以及依赖它的存储库。 此外,您还可以看到在其依赖项中检测到的任何漏洞。

依赖关系图疑难排解

如果依赖项关系图报告的依赖项信息不符合你的预期,则需要考虑许多因素,你可以检查各种问题。