About the dependency graph
依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイル、および 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:
- リポジトリが依存している依存関係、エコシステム、パッケージ
- 依存、依存するリポジトリ、パッケージ
依存関係ごとに、バージョン、ライセンス情報、それを含むマニフェスト ファイル、既知の脆弱性があるかどうかを確認できます。 推移的な依存関係をサポートするパッケージ エコシステムの場合、リレーションシップの状態が表示され、[] をクリックしてから [Show paths] をクリックすると、その依存関係の基になっている推移パスを確認できます。
検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱なパッケージが先頭になるように自動的に並べ替えられます。
For information on the supported ecosystems and manifest files, see 依存関係グラフがサポートされるパッケージ エコシステム.
When you create a pull request containing changes to dependencies that targets the default branch, GitHub uses the dependency graph to add dependency reviews to the pull request. These indicate whether the dependencies contain vulnerabilities and, if so, the version of the dependency in which the vulnerability was fixed. For more information, see Dependency review.
How the dependency graph is built
The dependency graph automatically parses dependencies by analyzing manifests and lock files in your repository. You can also submit data yourself. For more information, see 依存関係グラフが依存関係を認識する方法.
Dependency graph availability
リポジトリ管理者は、リポジトリに対して依存関係グラフを有効または無効にすることができます。 For more information, see リポジトリのセキュリティと分析設定を管理する.
リポジトリ管理者は、リポジトリに対して依存関係グラフを有効または無効にすることができます。 See Enabling the dependency graph.
Dependents and "used by" data
For public repositories, the dependency graph lists dependents. These are other public repositories that depend on the repository or on packages that it publishes. This information is not reported for private repositories.
一部のリポジトリには、[ コード ] タブのサイドバーに "Used by" セクションがあります。このセクションでは、見つかったパッケージへのパブリック参照の数を示し、依存プロジェクトの所有者の一部のアバターを表示します。 Clicking any item in this section takes you to the Dependents tab of the dependency graph.
Your repository will have a "Used by" section if:
- The dependency graph is enabled for the repository.
- Your repository contains a package that is published on a supported package ecosystem. See 依存関係グラフがサポートされるパッケージ エコシステム.
- Within the ecosystem, your package has a link to a public repository where the source is stored.
- More than 100 repositories depend on your package.
The "Used by" section represents a single package from the repository. If you have admin permissions to a repository that contains multiple packages, you can choose which package the "Used by" section represents. See リポジトリの "使用者" データの変更.
What you can do with the dependency graph
You can use the dependency graph to:
- Explore the repositories your code depends on, and those that depend on it. For more information, see Exploring the dependencies of a repository.
- View a summary of the dependencies used in your organization's repositories in a single dashboard. For more information, see あなたの組織における依存関係の洞察を表示する.
- View and update vulnerable dependencies for your repository. For more information, see Dependabot alerts.
- See information about vulnerable dependencies in pull requests. For more information, see プルリクエスト内の依存関係の変更をレビューする.
- Export a software bill of materials (SBOM) for audit or compliance purposes. This is a formal, machine-readable inventory of a project's dependencies. See Exporting a software bill of materials for your repository.