Sobre el gráfico de dependencias
El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra:
- Las dependencias, ecosistemas y paquetes de los cuales depende
- Dependientes, los repositorios y paquetes que dependen de él
Para cada dependencia, puedes ver la versión, información de licencia, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. Para los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y puedes hacer clic en "", luego "Mostrar rutas de acceso", para ver la ruta transitiva que trajo a la dependencia.
También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con paquetes vulnerables en la parte superior.
Para obtener más información sobre los ecosistemas y archivos de manifiesto compatibles, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.
Cuando se crea una solicitud de incorporación de cambios que contiene cambios en las dependencias que tiene como destino la rama predeterminada, GitHub se usa el gráfico de dependencias para agregar revisiones de dependencia a la solicitud de incorporación de cambios. Estas indican si las dependencias contendrán vulnerabilidades y, si es el caso, la versión de la dependencia en la cual se arregló la vulnerabilidad. Para obtener más información, vea Revisión de dependencias.
Cómo se compila el gráfico de dependencias
El gráfico de dependencias analiza automáticamente las dependencias mediante el análisis de manifiestos y archivos de bloqueo en el repositorio. También puede enviar datos usted mismo. Para obtener más información, vea Cómo reconoce el gráfico de dependencias las dependencias.
Disponibilidad de la gráfica de dependencias
Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. Para obtener más información, consulte Administración de la configuración de seguridad y análisis para el repositorio.
Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. Consulte Habilitar el gráfico de dependencias.
Datos dependientes y "usados por"
En el caso de los repositorios públicos, el gráfico de dependencias enumera los dependientes. Estos son otros repositorios públicos que dependen del repositorio o de los paquetes que publica. Esta información no se notifica para repositorios privados.
Algunos repositorios tienen una sección "Usada por" en la barra lateral de la pestaña Código . En esta sección se muestra el número de referencias públicas a un paquete que se encontraron y se muestran los avatares de algunos de los propietarios de los proyectos dependientes. Al hacer clic en cualquier elemento de esta sección, se le lleva a la pestaña Dependientes del gráfico de dependencias .
El repositorio tendrá una sección "Usada por" si:
- El gráfico de dependencias está habilitado para el repositorio.
- El repositorio contiene un paquete que se publica en un ecosistema de paquetes compatible. Consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.
- Dentro del ecosistema, su paquete tiene un vínculo a un repositorio público donde se almacena el origen.
- Más de 100 repositorios dependen del paquete.
La sección de "Utilizado por" representa un solo paquete del repositorio. Si tienes permisos de administrador en un repositorio que contenga paquetes múltiples, puedes elegir qué paquete reporesenta la sección de "Utilizado por". Consulte Cambio de los datos "usados por" de un repositorio.
Qué puede hacer con el gráfico de dependencias
Puedes utilizar la gráfica de dependencias para:
- Explora los repositorios de los que depende tu código, y aquellos que dependen de él. Para obtener más información, vea Explorar las dependencias de un repositorio.
- Ver en un solo tablero un resumen de las dependencias que se utilizan en los repositorios de tu organización. Para obtener más información, consulte Ver información sobre dependencias de su organización.
- Ver y actualizar las dependencias vulnerables de tu repositorio. Para obtener más información, vea Dependabot alerts.
- Consulta la información sobre las dependencias vulnerables en las solicitudes de cambios. Para obtener más información, vea Revisar los cambios en las dependencias en un pull request.
- Exporte una lista de materiales de software (SBOM) con fines de auditoría o cumplimiento. Se trata de un inventario formal legible por máquina de las dependencias de un proyecto. Consulte Exportación de una lista de materiales de software para el repositorio.