了解你的软件供应链

GitHub 帮助你保护你的供应链，从了解你环境中的依赖项，到了解这些依赖项中的漏洞以及如何修补它们。

你可以使用依赖关系图来识别项目的所有依赖项。依赖关系图支持一系列流行的包生态系统。

依赖关系图支持多种生态系统。

你可以通过启用依赖关系图来允许用户识别其项目的依赖项。

你可以使用自动依赖项提交来提交仓库中的传递依赖项数据。这使你可以使用依赖关系图分析这些传递依赖项。

你可以从依赖关系图导出仓库的软件物料清单 (SBOM)。SBOM 允许透明地了解你的开源使用情况，并帮助发现供应链漏洞，从而降低供应链风险。

你可以使用依赖项提交 API 来提交项目的依赖项，例如项目构建或编译时解析的依赖项。

依赖项审查允许你在将不安全的依赖项引入环境之前发现它们，并提供有关许可证、依赖项和依赖项年龄的信息。

你可以使用依赖项审查在漏洞添加到项目之前发现它们。

了解如何向你的依赖项审查配置添加基本自定义。

依赖项审查允许你在将不安全的依赖项引入环境之前发现它们。你可以在整个组织中强制使用依赖项审查操作。

你可以使用依赖关系图查看你的项目所依赖的包以及依赖它的仓库。此外，你还可以查看在其依赖项中检测到的任何漏洞。

如果依赖关系图报告的依赖项信息与你的预期不符，则需要考虑一些要点，以及你可以检查的各种内容。