À propos du graphe de dépendances
Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche les dépendances, c’est-à-dire les écosystèmes et les packages dont il dépend.
Pour chaque dépendance, vous pouvez voir la version, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur « », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.
Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste.
GitHub ne récupère pas les informations de licence pour les dépendances, et ne calcule pas les informations sur les dépendants, les référentiels et les packages qui dépendent d’un référentiel.
Pour plus d’informations sur les écosystèmes et les fichiers manifeste pris en charge, consultez Écosystèmes de packages pris en charge par le graphe des dépendances.
Quand vous créez une demande de tirage (pull request) contenant des modifications apportées aux dépendances qui cible la branche par défaut, GitHub utilise le graphe de dépendances pour ajouter des révisions de dépendance à la demande de tirage. Celles-ci indiquent si les dépendances contiennent des vulnérabilités et, si c’est le cas, la version de la dépendance dans laquelle la vulnérabilité a été corrigée. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».
Comment le graphique de dépendances est généré
Le graphique des dépendances analyse automatiquement les dépendances en analysant les manifestes et les fichiers de verrouillage dans votre référentiel. Vous pouvez également soumettre des données vous-même. Pour plus d’informations, consultez « Comment le graphique de dépendances reconnaît les dépendances ».
Disponibilité du graphe de dépendances
Pour plus d’informations sur la configuration du graphe des dépendances, consultez Activation du graphe de dépendances.
Ce que vous pouvez faire avec le graphique de dépendances
Vous pouvez utiliser le graphe de dépendances pour :
- Explorer les dépôts dont votre code dépend. Pour plus d’informations, consultez « Exploration des dépendances d’un dépôt ».
- Affichez et mettez à jour les dépendances vulnérables pour votre dépôt. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
- Consultez des informations sur les dépendances vulnérables dans les demandes de tirage. Pour plus d’informations, consultez « Révision des changements de dépendances dans une pull request ».
- Exportez une facture logicielle de matériaux (SBOM) à des fins d’audit ou de conformité. Il s’agit d’un inventaire formel lisible par l’ordinateur des dépendances d’un projet. Consultez « Exportation d’une nomenclature logicielle pour votre dépôt ».
Lectures complémentaires
-
[Graphe des dépendances](https://en.wikipedia.org/wiki/Dependency_graph) sur Wikipédia -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)