A partir dos arquivos de manifesto no repositório, o GitHub consegue relacionar as dependências do projeto e, no caso dos módulos do RubyGems ou npm, verificar na lista vulnerabilidades conhecidas do MITRE se as versões em uso apresentam alguma vulnerabilidade.
E como eu sei disto? Foi justamente foi o que ocorreu com a Agenda Mequetrefe, com uma notificação do GitHub sobre a existência de possíveis vulnerabilidades em componentes utilizados pela aplicação.