Informationen zum Abhängigkeitsdiagramm
Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und gesperrten Dateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt Abhängigkeiten, also die Ökosysteme und Pakete, von denen es abhängig ist.
Für jede Abhängigkeit kannst du die Version, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt, und du kannst auf „“ und dann auf „Show paths“ klicken, um den transitiven Pfad anzuzeigen, der die Abhängigkeit eingeführt hat.
Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen.
GitHub ruft keine Lizenzinformationen für Abhängigkeiten ab und berechnet keine Informationen über Abhängigkeiten, Repositorys und Pakete, die von einem Repository abhängen.
Weitere Informationen zu den unterstützten Ökosystemen und Manifestdateien finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.
Wenn Sie einen Pull Request erstellen, der Änderungen an Abhängigkeiten enthält und auf den Standard-Branch abzielt, verwendet GitHub den Abhängigkeitsgraphen, um dem Pull Request Abhängigkeitsprüfungen hinzuzufügen. Diese geben an, ob die Abhängigkeiten Sicherheitsrisiken enthalten und zeigen ggf. die Version der Abhängigkeit an, in der die Sicherheitsanfälligkeit behoben wurde. Weitere Informationen findest du unter Abhängigkeitsüberprüfung.
Erstellen des Abhängigkeitsdiagramms
Das Abhängigkeitsdiagramm analysiert Abhängigkeiten automatisch, indem Manifeste analysiert und Dateien in Ihrem Repository gesperrt werden. Sie können daten auch selbst übermitteln. Weitere Informationen findest du unter Wie das Abhängigkeitsdiagramm Abhängigkeiten erkennt.
Verfügbarkeit von Abhängigkeitsdiagrammen
Unternehmensbesitzende können das Abhängigkeitsdiagramm und Dependabot alerts für ein Unternehmen konfigurieren. Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen und Aktivieren von Dependabot für dein Unternehmen.
Weitere Informationen zur Konfiguration des Abhängigkeitsdiagramms finden Sie unter Aktivieren des Abhängigkeitsdiagramms.
Was Sie mit dem Abhängigkeitsdiagramm tun können
Du kannst das Abhängigkeitsdiagramm verwenden, um folgende Aktionen auszuführen:
- Erkunden Sie die Repositorys, von abhängig sind. Weitere Informationen findest du unter Untersuchen der Abhängigkeiten eines Repositorys.
- Anzeigen und Aktualisieren von sicherheitsanfälligen Abhängigkeiten für dein Repository. Weitere Informationen findest du unter Dependabot alerts.
- Informationen zu sicherheitsanfälligen Abhängigkeiten in Pullanforderungen. Weitere Informationen findest du unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.
- Exportieren Sie eine Software-Stückliste (SBOM) für Audit- oder Compliance-Zwecke. Dies ist ein formaler, maschinenlesbarer Bestand der Abhängigkeiten eines Projekts. Siehe Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository.