ソフトウェアサプライチェーンの理解
サプライ チェーンのセキュリティについて
GitHubは、環境内の依存関係の理解からそれらの依存関係の脆弱性を把握するところまで、サプライチェーンを確保してその脆弱性をパッチできるようにします。
依存関係グラフについて
依存関係グラフを使って、プロジェクトの依存関係をすべて特定できます。 依存関係グラフは、幅広く一般的なパッケージエコシステムをサポートします。
依存関係グラフでパッケージ エコシステムをサポート
依存関係グラフは、さまざまなエコシステムをサポートしています。
依存関係グラフを設定する
依存関係グラフを有効にすることで、ユーザーはプロジェクトの依存関係を識別できます。
リポジトリの依存関係の自動送信の構成
依存関係の自動送信を使用して、推移的な依存関係データをリポジトリに送信できます。 これにより、依存関係グラフを使用して、これらの推移的な依存関係を分析できます。
リポジトリのソフトウェア部品表のエクスポート
リポジトリのソフトウェア部品表、つまり、SBOM を依存関係グラフからエクスポートすることができます。 SBOM を使用すると、オープンソースの使用状況に対する透明性が得られ、サプライ チェーンの脆弱性を見つけるのに役立ち、サプライ チェーンのリスクが軽減されます。
Dependency Submission API を使用する
依存関係送信 API を使うと、プロジェクトがビルドまたはコンパイルされるときに解決される依存関係など、プロジェクトの依存関係を送信できます。
依存関係の確認について
依存関係のレビューを使うと、安全でない依存関係を自分の環境に持ち込んでしまう前に捉え、ライセンス、依存物、依存関係の期間に関する情報を確認できます。
依存関係レビューの構成
依存関係レビューを使用して、脆弱性がプロジェクトに追加される前に捕捉できます。
依存関係レビュー アクション構成のカスタマイズ
依存関係レビュー構成に基本的なカスタマイズを追加する方法について説明します。
組織全体で依存関係レビューを実施する
依存関係レビューにより、セキュリティで保護されていない依存関係を環境に導入する前に検出します。 組織全体で 依存関係レビュー アクション の使用を実施できます。
リポジトリの依存関係を調べる
依存関係グラフを使用すると、プロジェクトが依存しているパッケージと、そのプロジェクトに依存しているリポジトリを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。
依存関係グラフのトラブルシューティング
依存関係グラフによって報告された依存関係の情報が期待したものと異なる場合、いくつかの考慮するポイントと、さまざまな確認項目があります。