Sobre o gráfico de dependências
O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra:
- As dependências, os ecossistemas e os pacotes do qual depende
- Os dependentes, os repositórios e os pacotes que dependem dele
Para cada dependência, você pode ver a versão, informações da licença, o arquivo de manifesto que a incluiu e se ela tem vulnerabilidades conhecidas. Para ecossistemas de pacotes que dão suporte a dependências transitivas, o status da relação será exibido e você poderá clicar em "", e em seguida em "Show paths" para ver o caminho transitivo que trouxe a dependência.
Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente com os pacotes vulneráveis na parte superior.
Para obter informações sobre os ecossistemas suportados e os arquivos de manifesto, consulte Ecossistemas de pacotes com suporte a gráficos de dependência.
Quando você cria um pull request que contém alterações nas dependências e tem como destino o branch padrão, GitHub usa o grafo de dependências para adicionar análises de dependências ao pull request. Eles indicam se as dependências contêm vulnerabilidades e, em caso afirmativo, a versão da dependência na qual a vulnerabilidade foi corrigida. Para obter mais informações, consulte Análise de dependência.
Como o grafo de dependência é criado
O grafo de dependência analisa automaticamente as dependências analisando manifestos e arquivos de bloqueio em seu repositório. Você também pode enviar dados por conta própria. Para obter mais informações, consulte Como o grafo de dependência reconhece dependências.
Disponibilidade do gráfico de dependências
Os administradores de repositórios podem habilitar ou desabilitar o grafo de dependência em repositórios. Para obter mais informações, consulte Gerenciando as configurações de segurança e análise do repositório.
Os administradores de repositórios podem habilitar ou desabilitar o grafo de dependência em repositórios. Consulte Habilitar o grafo de dependência.
Dependentes e dados "utilizados por"
Para repositórios públicos, o grafo de dependência lista os dependentes. Esses são outros repositórios públicos que dependem do repositório ou dos pacotes que ele publica. Essas informações não são relatadas para repositórios privados.
Alguns repositórios têm uma seção "Usado por" na barra lateral da guia Código . Esta seção mostra o número de referências públicas a um pacote encontrado e exibe os avatares de alguns dos proprietários dos projetos dependentes. Clicar em qualquer item nesta seção leva você para a guia Dependentes do grafo de dependência.
Seu repositório terá uma seção "Usado por" se:
- O grafo de dependência está habilitado para o repositório.
- Seu repositório contém um pacote publicado em um ecossistema de pacotes com suporte. Consulte Ecossistemas de pacotes com suporte a gráficos de dependência.
- Dentro dele, o pacote tiver um link para um repositório público em que o código-fonte é armazenado.
- Mais de 100 repositórios dependem do seu pacote.
A seção "Usado por" representa um único pacote do repositório. Se você tiver permissões de administrador em um repositório que contém vários pacotes, você poderá escolher qual pacote a seção "Usado por" representa. Consulte Alterando os dados "usados por" de um repositório.
O que você pode fazer com o grafo de dependência
Você pode usar o gráfico de dependências para:
- Explorar os repositórios dos quais seu código depende e aqueles que dependem dele. Para obter mais informações, consulte Explorar as dependências de um repositório.
- Visualizar um resumo das dependências usadas nos repositórios da sua organização em um único painel. Para obter mais informações, consulte Visualização de insights sobre dependências em sua organização.
- Ver e atualizar dependências vulneráveis no seu repositório. Para obter mais informações, consulte Dependabot alerts.
- Veja as informações sobre dependências vulneráveis em pull requests. Para obter mais informações, consulte Revisão de alterações de dependências em um pull request.
- Exportar uma lista de materiais de software (SBOM) para fins de auditoria ou conformidade. Esse é um inventário formal e legível por computador das dependências de um projeto. Consulte Como exportar uma lista de materiais de software para seu repositório.