Comprendre la table
Le graphique de dépendances prend en charge différentes méthodes d’envoi de données pour les dépendances directes et indirectes (transitives). Consultez « Comment le graphique de dépendances reconnaît les dépendances ».
Dans le tableau ci-dessous :
- Les dépendances transitives statiques et la soumission de dépendance automatique vous montrent les méthodes prises en charge pour l’envoi de données.
- La colonne dépendances transitives statiques indique également si l'analyse statique va ajouter des étiquettes
directettransitiveaux packages dépendants dans cet écosystème. - La colonne Fichiers recommandés suggère des formats qui définissent explicitement les versions utilisées pour toutes les dépendances directes et indirectes. Ces fichiers verrouillent les versions de package à celles incluses dans la build et permettent à Dependabot de rechercher des versions vulnérables dans les dépendances directes et indirectes.
Écosystèmes de packages pris en charge
| Gestionnaire de paquets | Langues | Dépendances transitives statiques | Envoi automatique des dépendances | Fichiers recommandés | Fichiers supplémentaires |
|---|---|---|---|---|---|
| Cargo | Rust | Cargo.lock | Cargo.toml | ||
| Composer | PHP | composer.lock | composer.json | ||
| NuGet | langages .NET (C#, F#, VB), C++ |
`.csproj`, `.vbproj`, , `.nuspec`, `.vcxproj`, `.fsproj` | `packages.config` |
| Workflows GitHub Actions | YAML | | |
.yml, .yaml | |
| Modules Go | Allez | | | go.mod| |
| Gradle | Java | | | | |
| |
| Maven | Java, Scala | | | pom.xml | |
| npm | JavaScript | | | package-lock.json | package.json|
| |
| pip | Python | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | pubspec.lock | pubspec.yaml |
| Poésie | Python | | | poetry.lock | pyproject.toml |
| RubyGems | Ruby | | | Gemfile.lock |
Gemfile, *.gemspec |
| Gestionnaire de package Swift | Swift | | | Package.resolved | |
| Yarn | JavaScript | | | yarn.lock | package.json |
Remarque
- Si vous répertoriez vos dépendances Python dans un fichier
setup.py, nous ne pouvons peut-être pas analyser et répertorier chaque dépendance dans votre projet. - Les workflows GitHub Actions doivent se trouver dans le répertoire
.github/workflows/d’un dépôt pour être reconnus en tant que manifestes. Toutes les actions ou workflows référencés avec la syntaxejobs[*].steps[*].usesoujobs.<job_id>.usessont analysés en tant que dépendances. Pour plus d’informations, consultez « Syntaxe de flux de travail pour GitHub Actions ». - Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA. Pour plus d’informations, consultez À propos des alertes Dependabot et À propos des mises à jour de version Dependabot.