{"meta":{"title":"供应链安全","intro":"GitHub的安全功能帮助您跟踪项目的依赖项和构建工件。","product":"安全性和代码质量","breadcrumbs":[{"href":"/zh/enterprise-cloud@latest/code-security","title":"安全性和代码质量"},{"href":"/zh/enterprise-cloud@latest/code-security/concepts","title":"Concepts"},{"href":"/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security","title":"供应链安全"}],"documentType":"subcategory"},"body":"# 供应链安全\n\nGitHub的安全功能帮助您跟踪项目的依赖项和构建工件。\n\n## Links\n\n* [关于供应链安全性](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-supply-chain-security)\n\n  GitHub 有助于保护供应链，从了解环境中的依赖项到了解这些依赖项中的漏洞，以及修补这些漏洞。\n\n* [维护依赖项的最佳做法](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/best-practices-for-maintaining-dependencies)\n\n  有关维护你所使用依赖项的指南和建议，包括可帮助提升安全性的 GitHub 安全产品。\n\n* [关于依赖关系图](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-the-dependency-graph)\n\n  您可以使用依赖关系图来识别项目的所有依赖项。 依赖关系图支持一系列流行的软件包生态系统。\n\n* [依赖项图如何识别依赖项](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/dependency-graph-data)\n\n  依赖项图会自动分析清单文件。 可以提交无法自动检测到的依赖项的数据。\n\n* [关于依赖项评审](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-dependency-review)\n\n  依赖项审查可让你在将有不安全的依赖项引入你的环境之前找到它们，并提供关于许可证、依赖项和依赖项存在时间的信息。\n\n* [关于 Dependabot 警报](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-dependabot-alerts)\n\n  Dependabot alerts 帮助你查找和修复存在漏洞的依赖项，以防它们成为安全风险。\n\n* [Dependabot 恶意软件警报](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/dependabot-malware-alerts)\n\n  Dependabot malware alerts 帮助你识别依赖项中的恶意软件，以保护项目及其用户。\n\n* [关于 Dependabot 警报的度量标准](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-metrics-for-dependabot-alerts)\n\n  使用指标在整个组织中跟踪 Dependabot alerts 并确定其优先级。\n\n* [关于 Dependabot 安全更新](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-dependabot-security-updates)\n\n  Dependabot 可通过提出安全更新拉取请求为您修复有漏洞依赖项。\n\n* [关于 Dependabot 版本更新](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-dependabot-version-updates)\n\n  您可以使用 Dependabot 来确保您使用的包更新到最新版本。\n\n* [关于 Dependabot 拉取请求](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-dependabot-pull-requests)\n\n  了解版本和安全更新的拉取请求频率及其自定义选项。\n\n* [多生态系统更新](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/multi-ecosystem-updates)\n\n  多生态系统更新将多个包生态系统中的依赖项更新合并为单个拉取请求，减少评审开销并简化更新工作流。\n\n* [关于 dependabot.yml 文件](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-the-dependabot-yml-file)\n\n  `dependabot.yml` 控制存储库中的自动依赖项更新。\n\n* [关于 Dependabot 自动分类规则](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-dependabot-auto-triage-rules)\n\n  控制 Dependabot 如何处理安全警报，包括筛选、忽略、暂缓或触发安全更新。\n\n* [关于 GitHub Actions 运行程序上的 Dependabot](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/about-dependabot-on-github-actions-runners)\n\n  如果为存储库启用了 GitHub，则 Dependabot 会自动运行在 GitHub Actions 上生成 GitHub Actions 拉取请求的作业。 启用 Dependabot 后，这些作业将通过绕过存储库或组织级别的操作策略检查和禁用来运行。\n\n* [Dependabot 作业日志](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/dependabot-job-logs)\n\n  GitHub 记录 Dependabot 运行的每个更新作业，让你能够了解各个依赖项的版本更新、安全修补程序和自动变基。\n\n* [不可变版本](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/immutable-releases)\n\n  了解不可变版本以及它们如何帮助维护软件供应链的完整性。\n\n* [关于关联的项目](/zh/enterprise-cloud@latest/code-security/concepts/supply-chain-security/linked-artifacts)\n\n  linked artifacts page 帮助你在 GitHub 上审计并优先处理组织的构建，无论制品存储在哪里。"}