About the dependency graph
El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra dependencias, los ecosistemas y paquetes de los cuales depende.
Para cada dependencia, puedes ver la versión, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. Para los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y puedes hacer clic en "", luego "Mostrar rutas de acceso", para ver la ruta transitiva que trajo a la dependencia.
También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con paquetes vulnerables en la parte superior.
GitHub no recupera la información de licencia para las dependencias, y no calcula la información sobre las dependencias, los repositorios y los paquetes que dependen de un repositorio.
For information on the supported ecosystems and manifest files, see Ecosistemas de paquetes que soportan el gráfico de dependencias.
When you create a pull request containing changes to dependencies that targets the default branch, GitHub uses the dependency graph to add dependency reviews to the pull request. These indicate whether the dependencies contain vulnerabilities and, if so, the version of the dependency in which the vulnerability was fixed. For more information, see Dependency review.
How the dependency graph is built
The dependency graph automatically parses dependencies by analyzing manifests and lock files in your repository. You can also submit data yourself. For more information, see Cómo reconoce el gráfico de dependencias las dependencias.
Dependency graph availability
Los propietarios de la empresa pueden configurar el gráfico de dependencias y las Dependabot alerts para una empresa. Para más información, consulta Habilitación del gráfico de dependencias para la empresa y Habilitación de Dependabot para la empresa.
For more information about configuration of the dependency graph, see Habilitar el gráfico de dependencias.
What you can do with the dependency graph
You can use the dependency graph to:
- Explore the repositories your code depends on. For more information, see Explorar las dependencias de un repositorio.
- View and update vulnerable dependencies for your repository. For more information, see Dependabot alerts.
- See information about vulnerable dependencies in pull requests. For more information, see Revisar los cambios en las dependencias en un pull request.
- Export a software bill of materials (SBOM) for audit or compliance purposes. This is a formal, machine-readable inventory of a project's dependencies. See Exportación de una lista de materiales de software para el repositorio.