Сведения о графе зависимостей
Граф зависимостей — это сводка файлов манифеста и блокировки, хранящихся в репозитории, и всех зависимостей, отправленных для репозитория с помощью API отправки зависимостей. Для каждого репозитория отображается зависимостей, экосистемы и пакеты, от которой она зависит.
Для каждой зависимости можно просмотреть версию файл манифеста, который включал его, и наличие известных уязвимостей. Для экосистем пакетов, поддерживающих транзитивные зависимости, будет отображаться состояние связи, и вы можете щелкнуть "", а затем "Показать пути", чтобы увидеть транзитивный путь, который привел в зависимость.
Вы также можете найти определенную зависимость с помощью строки поиска. Зависимости отсортированы автоматически с уязвимыми пакетами в верхней части.
GitHub не получает сведения о лицензии для зависимостей и не вычисляет сведения о зависимостях, репозиториях и пакетах, зависящих от репозитория.
Сведения о поддерживаемых экосистемах и файлах манифестов см. в разделе Поддерживаемые экосистемы пакетов графа зависимостей.
Когда вы создаёте pull request, содержащий изменения зависимостей, направленный на стандартную ветвь, GitHub используйте граф зависимостей, чтобы добавить отзывы зависимостей. Они указывают, содержат ли зависимости уязвимости и если да, то версию зависимости, в которой была исправлена уязвимость. Дополнительные сведения см. в разделе Анализ зависимостей.
Как строится граф зависимостей
Граф зависимостей автоматически анализирует зависимости, анализируя манифесты и файлы блокировки в вашем репозитории. Вы также можете отправлять данные самостоятельно. Дополнительные сведения см. в разделе Как граф зависимостей распознаёт зависимости.
Доступность графа зависимостей
Владельцы предприятия могут настроить граф зависимостей и Dependabot alerts для предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Включение графа зависимостей для предприятия](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise).
Для получения дополнительной информации о конфигурации графа зависимостей см. Включение графа зависимостей.
Что можно сделать с графом зависимостей
Граф зависимостей можно использовать для следующих целей.
- Изучите репозитории, от которых зависит. Дополнительные сведения см. в разделе Изучение зависимостей репозитория.
- Просмотр и обновление уязвимых зависимостей для репозитория. Дополнительные сведения см. в разделе Dependabot alerts.
- Просмотр сведений об уязвимых зависимостях в запросах на вытягивание. Дополнительные сведения см. в разделе Проверка изменений зависимостей в запросе на вытягивание.
- Экспортировать программный список материалов (SBOM) для целей аудита или соответствия требованиям. Это формальный, машиночитаемый инвентарь зависимостей проекта. См . раздел AUTOTITLE.