依存関係のセキュリティ保護

リポジトリのいずれかに新しい脆弱な依存関係が見つかった場合に、 Dependabot alerts を生成できるようにします。

悪意のある依存関係を特定して修復することで、マルウェア攻撃を防ぎます。

Dependabot security updatesまたは手動のプル要求を使用して、脆弱な依存関係を簡単に更新できます。

使用するパッケージ Dependabot 自動的に更新されるようにリポジトリを構成できます。

Dependabotを使用して、使用するアクションを最新バージョンに更新することができます。

複数のエコシステム間の更新を 1 つの統合プル要求にグループ化することで、受け取る Dependabot プル要求の数を減らします。

依存関係グラフを有効にすることで、ユーザーはプロジェクトの依存関係を識別できます。

依存関係グラフを使用して、プロジェクトが依存しているパッケージ それに依存するリポジトリを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。

依存関係の自動送信を使用して、リポジトリ内の推移的依存関係データを送信できます。 これにより、依存関係グラフを使用してこれらの推移的依存関係を分析できます。

依存関係送信 APIを使用して、プロジェクトのビルドまたはコンパイル時に解決された依存関係など、プロジェクトの依存関係を送信できます。

使用するリリースが公開後に変更されていないことを確認することで、改ざんや偶発的な変更を回避できます。