À propos du graphe de dépendances

Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche :

Dépendances, les écosystèmes et les packages dont il dépend
Les dépendants : les dépôts et packages qui en dépendent

Pour chaque dépendance, vous pouvez voir la version, les informations de licence, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur « », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.

Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste.

Pour plus d’informations sur les écosystèmes et les fichiers manifeste pris en charge, consultez Écosystèmes de packages pris en charge par le graphe des dépendances.

Quand vous créez une demande de tirage (pull request) contenant des modifications apportées aux dépendances qui cible la branche par défaut, GitHub utilise le graphe de dépendances pour ajouter des révisions de dépendance à la demande de tirage. Celles-ci indiquent si les dépendances contiennent des vulnérabilités et, si c’est le cas, la version de la dépendance dans laquelle la vulnérabilité a été corrigée. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

Comment le graphique de dépendances est généré

Le graphique des dépendances analyse automatiquement les dépendances en analysant les manifestes et les fichiers de verrouillage dans votre référentiel. Vous pouvez également soumettre des données vous-même. Pour plus d’informations, consultez « Comment le graphique de dépendances reconnaît les dépendances ».

Disponibilité du graphe de dépendances

Les administrateurs de dépôts peuvent activer ou désactiver le graphe de dépendances pour les dépôts. Pour plus d’informations, consultez Gestion des paramètres de sécurité et d’analyse pour votre dépôt.

Les administrateurs de dépôts peuvent activer ou désactiver le graphe de dépendances pour les dépôts. Consultez Activation du graphe de dépendances.

Données de dépendance et données « utilisées par »

Pour les référentiels publics, le graphique de dépendances répertorie les dépendants. Il s’agit d’autres dépôts publics qui dépendent du référentiel ou des packages qu’il publie. Ces informations ne sont pas signalées pour les dépôts privés.

Certains référentiels ont une section « Utilisé par » dans la barre latérale de l’onglet Code . Cette section montre le nombre de références publiques à un package trouvé et affiche les avatars de certains des propriétaires des projets dépendants. Si vous cliquez sur n’importe quel élément de cette section, vous accédez à l’onglet Dépendances du graphique de dépendances.

Votre référentiel aura une section « Utilisé par » si :

Le graphique de dépendances est activé pour le référentiel.
Votre référentiel contient un package publié sur un écosystème de packages pris en charge. Consultez « Écosystèmes de packages pris en charge par le graphe des dépendances ».
Dans l’écosystème, votre package a un lien vers un dépôt public où la source est stockée.
Plus de 100 référentiels dépendent de votre package.

Capture d’écran de la section « Used by » d’un dépôt, montrant le résumé « 13,4 M » avec le détail de 8 avatars et « +13 435 819 ».

La section « Utilisé par » représente un package unique du dépôt. Si vous disposez d’autorisations d’administrateur sur un référentiel qui contient plusieurs packages, vous pouvez choisir quel package est représenté par la section « Utilisé par ». Consultez « Modification des données « utilisées par » pour un référentiel ».

Ce que vous pouvez faire avec le graphique de dépendances

Vous pouvez utiliser le graphe de dépendances pour :

Explorer les dépôts dont votre code dépend et ceux qui en dépendent. Pour plus d’informations, consultez « Exploration des dépendances d’un dépôt ».
Affichez un récapitulatif des dépendances utilisées dans les dépôts de votre organisation dans un tableau de bord unique. Pour plus d’informations, consultez « Affichage des aperçus des dépendances dans votre organisation ».
Affichez et mettez à jour les dépendances vulnérables pour votre dépôt. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
Consultez des informations sur les dépendances vulnérables dans les demandes de tirage. Pour plus d’informations, consultez « Révision des changements de dépendances dans une pull request ».
Exportez une facture logicielle de matériaux (SBOM) à des fins d’audit ou de conformité. Il s’agit d’un inventaire formel lisible par l’ordinateur des dépendances d’un projet. Consultez « Exportation d’une nomenclature logicielle pour votre dépôt ».

Lectures complémentaires

        [Graphe des dépendances](https://en.wikipedia.org/wiki/Dependency_graph) sur Wikipédia

        [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)

        [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

        [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)

À propos du graphe de dépendances

Qui peut utiliser cette fonctionnalité ?

Dans cet article