Cette version de GitHub Enterprise Server n'est plus disponible depuis le 2026-04-09. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Écosystèmes de packages pris en charge par le graphe des dépendances

Le graphe des dépendances prend en charge un large éventail d’écosystèmes.

Dans cet article

Comprendre la table

Le graphique de dépendances prend en charge différentes méthodes d’envoi de données pour les dépendances directes et indirectes (transitives). Consultez « Comment le graphique de dépendances reconnaît les dépendances ».

Dans le tableau ci-dessous :

  • Les dépendances transitives statiques et la soumission de dépendance automatique vous montrent les méthodes prises en charge pour l’envoi de données.
  • La colonne dépendances transitives statiques indique également si l'analyse statique va ajouter des étiquettes direct et transitive aux packages dépendants dans cet écosystème.
  • La colonne Fichiers recommandés suggère des formats qui définissent explicitement les versions utilisées pour toutes les dépendances directes et indirectes. Ces fichiers verrouillent les versions de package à celles incluses dans la build et permettent à Dependabot de rechercher des versions vulnérables dans les dépendances directes et indirectes.

Écosystèmes de packages pris en charge

Gestionnaire de paquetsLanguesDépendances transitives statiquesEnvoi automatique des dépendancesFichiers recommandésFichiers supplémentaires
CargoRustCargo.lockCargo.toml
ComposerPHPcomposer.lockcomposer.json
NuGetlangages .NET (C#, F#, VB), C++
          `.csproj`, `.vbproj`, , `.nuspec`, `.vcxproj`, `.fsproj` | `packages.config` |

| Workflows GitHub Actions | YAML | | | .yml, .yaml | | | Modules Go | Allez | | | go.mod| | | Gradle | Java | | | | | | | | Maven | Java, Scala | | | pom.xml | | | npm | JavaScript | | | package-lock.json | package.json| | | | pip | Python | | | requirements.txt, pipfile.lock | pipfile, setup.py | | pnpm | JavaScript | | | pnpm-lock.yaml | package.json | | pub | Dart | | | pubspec.lock | pubspec.yaml | | Poésie | Python | | | poetry.lock | pyproject.toml | | RubyGems | Ruby | | | Gemfile.lock | Gemfile, *.gemspec | | Gestionnaire de package Swift | Swift | | | Package.resolved | | | Yarn | JavaScript | | | yarn.lock | package.json |

Remarque

  • Si vous répertoriez vos dépendances Python dans un fichier setup.py, nous ne pouvons peut-être pas analyser et répertorier chaque dépendance dans votre projet.
  • Les workflows GitHub Actions doivent se trouver dans le répertoire .github/workflows/ d’un dépôt pour être reconnus en tant que manifestes. Toutes les actions ou workflows référencés avec la syntaxe jobs[*].steps[*].uses ou jobs.<job_id>.uses sont analysés en tant que dépendances. Pour plus d’informations, consultez « Syntaxe de flux de travail pour GitHub Actions ».
  • Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA. Pour plus d’informations, consultez À propos des alertes Dependabot et À propos des mises à jour de version Dependabot.