Dependency graph

You can use the dependency graph to identify all your project's dependencies. The dependency graph supports a range of popular package ecosystems.

Qui peut utiliser cette fonctionnalité ?

Le graphe des dépendances est disponible pour les types de référentiels suivants :

  • Référentiels publics (activés par défaut)
  • Référentiels privés
  • Fourches

Dans cet article

About the dependency graph

Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche :

  • Dépendances, les écosystèmes et les packages dont il dépend
  • Les dépendants : les dépôts et packages qui en dépendent

Pour chaque dépendance, vous pouvez voir la version, les informations de licence, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur «  », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.

Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste.

For information on the supported ecosystems and manifest files, see Écosystèmes de packages pris en charge par le graphe des dépendances.

When you create a pull request containing changes to dependencies that targets the default branch, GitHub uses the dependency graph to add dependency reviews to the pull request. These indicate whether the dependencies contain vulnerabilities and, if so, the version of the dependency in which the vulnerability was fixed. For more information, see Dependency review.

How the dependency graph is built

The dependency graph automatically parses dependencies by analyzing manifests and lock files in your repository. You can also submit data yourself. For more information, see Comment le graphique de dépendances reconnaît les dépendances.

Dependency graph availability

Les administrateurs de dépôts peuvent activer ou désactiver le graphe de dépendances pour les dépôts. For more information, see Gestion des paramètres de sécurité et d’analyse pour votre dépôt.

Les administrateurs de dépôts peuvent activer ou désactiver le graphe de dépendances pour les dépôts. See Enabling the dependency graph.

Dependents and "used by" data

For public repositories, the dependency graph lists dependents. These are other public repositories that depend on the repository or on packages that it publishes. This information is not reported for private repositories.

Certains référentiels ont une section « Utilisé par » dans la barre latérale de l’onglet Code . Cette section montre le nombre de références publiques à un package trouvé et affiche les avatars de certains des propriétaires des projets dépendants. Clicking any item in this section takes you to the Dependents tab of the dependency graph.

Your repository will have a "Used by" section if:

  • The dependency graph is enabled for the repository.
  • Your repository contains a package that is published on a supported package ecosystem. See Écosystèmes de packages pris en charge par le graphe des dépendances.
  • Within the ecosystem, your package has a link to a public repository where the source is stored.
  • More than 100 repositories depend on your package.

Screenshot of the "Used by" section for a repository showing the summary of "13.4m" with details of 8 avatars and "+13,435,819."

The "Used by" section represents a single package from the repository. If you have admin permissions to a repository that contains multiple packages, you can choose which package the "Used by" section represents. See Modification des données « utilisées par » pour un référentiel.

What you can do with the dependency graph

You can use the dependency graph to:

Further reading