About the dependency graph
Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche les dépendances, c’est-à-dire les écosystèmes et les packages dont il dépend.
Pour chaque dépendance, vous pouvez voir la version, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur « », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.
Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste.
GitHub ne récupère pas les informations de licence pour les dépendances, et ne calcule pas les informations sur les dépendants, les référentiels et les packages qui dépendent d’un référentiel.
For information on the supported ecosystems and manifest files, see Écosystèmes de packages pris en charge par le graphe des dépendances.
When you create a pull request containing changes to dependencies that targets the default branch, GitHub uses the dependency graph to add dependency reviews to the pull request. These indicate whether the dependencies contain vulnerabilities and, if so, the version of the dependency in which the vulnerability was fixed. For more information, see Dependency review.
How the dependency graph is built
The dependency graph automatically parses dependencies by analyzing manifests and lock files in your repository. You can also submit data yourself. For more information, see Comment le graphique de dépendances reconnaît les dépendances.
Dependency graph availability
Les propriétaires d’entreprise peuvent configurer le graphe des dépendances et Dependabot alerts pour une entreprise. Pour plus d’informations, consultez Enabling the dependency graph for your enterprise et Activation de Dependabot pour votre entreprise.
For more information about configuration of the dependency graph, see Enabling the dependency graph.
What you can do with the dependency graph
You can use the dependency graph to:
- Explore the repositories your code depends on. For more information, see Exploring the dependencies of a repository.
- View and update vulnerable dependencies for your repository. For more information, see Dependabot alerts.
- See information about vulnerable dependencies in pull requests. For more information, see Révision des changements de dépendances dans une pull request.
- Export a software bill of materials (SBOM) for audit or compliance purposes. This is a formal, machine-readable inventory of a project's dependencies. See Exporting a software bill of materials for your repository.