Enterprise Server 3.21 est actuellement disponible en tant que version candidate.

Exploration des dépendances d’un dépôt

Vous pouvez utiliser le graphique de dépendances pour voir les packages dont. En outre, vous pouvez voir l’ensemble des vulnérabilités détectées dans ses dépendances.

Qui peut utiliser cette fonctionnalité ?

Administrateurs de référentiels, propriétaire d’organisation et personnes disposant d’un accès en écriture ou en maintenance à un référentiel

Dans cet article

Affichage du graphe de dépendances

Le graphique des dépendances affiche les dépendances de votre référentiel.
Pour chaque dépendance, vous pouvez voir la version, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur «  », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.

Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste. Pour plus d’informations sur la détection des dépendances et sur les écosystèmes pris en charge, consultez Écosystèmes de packages pris en charge par le graphe des dépendances.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Insights.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet, marqué d’une icône de graphique et du titre « Insights », est mis en évidence en orange.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.

    Capture d’écran de l’onglet « Graphe des dépendances ». L’onglet est mis en évidence avec un encadré orange.

  4. Si vous le souhaitez, utilisez la barre de recherche pour rechercher une dépendance spécifique ou un ensemble de dépendances. Vous pouvez utiliser les mots-clés ecosystem: pour afficher uniquement les packages d’un certain type, ou relationship: pour afficher uniquement les dépendances directes ou transitives (si l’écosystème prend en charge la transitivité). Les mots saisis tels quels dans la barre de recherche ne correspondent qu’aux noms de packages.

Les propriétaires d’entreprise peuvent configurer le graphique de dépendances au niveau de l’entreprise. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise ».

Affichage des dépendances

Toutes les dépendances directes et indirectes spécifiées dans le manifeste ou les fichiers de verrouillage du référentiel sont répertoriées.

Les dépendances soumises à un projet via le API de soumission de dépendances indiqueront quel détecteur a été utilisé lors de leur soumission, ainsi que la date à laquelle elles ont été soumises. Pour plus d’informations sur l’utilisation de l’objet API de soumission de dépendances, consultez Utilisation de l’API de soumission de dépendances.

Si des vulnérabilités ont été détectées dans le référentiel, celles-ci sont affichées en haut de la vue pour les utilisateurs ayant accès à Dependabot alerts.

Remarque

GitHub Enterprise Server ne remplit pas la vue Dépendants.

Lectures complémentaires