Untersuchen der Abhängigkeiten eines Repositorys

Sie können das Abhängigkeitsdiagramm verwenden, um die Pakete anzuzeigen, von denen Ihr Projekt abhängt , und von den Repositorys, die davon abhängig sind. Darüber hinaus kannst du alle ermittelten Sicherheitsrisiken in ihren Abhängigkeiten anzeigen.

Wer kann dieses Feature verwenden?

Repositoryadministratoren, Organisationsbesitzer und Personen mit Schreib- oder Pflege-Zugriff auf ein Repository

In diesem Artikel

Anzeigen des Abhängigkeitsdiagramms

Das Abhängigkeitsdiagramm zeigt die Abhängigkeiten und Abhängigen Ihres Repositorys an.
Für jede Abhängigkeit kannst du die Version, die Lizenzinformationen, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt, und du kannst auf „“ und dann auf „Show paths“ klicken, um den transitiven Pfad anzuzeigen, der die Abhängigkeit eingeführt hat.

Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen. Informationen zur Erkennung von Abhängigkeiten und zu den unterstützten Ökosystemen finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Insights.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Insights“ beschriftet ist, orange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

    Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.

  4. Verwende optional die Suchleiste, um nach einer bestimmten Abhängigkeit oder nach mehreren Abhängigkeiten zu suchen. Du kannst die Schlüsselwörter ecosystem: verwenden, um nur Pakete eines bestimmten Typs anzuzeigen, oder relationship:, um nur direkte oder transitive Abhängigkeiten anzuzeigen (wenn das Ökosystem Transitivität unterstützt). Einfache Wörter in der Suchleiste werden nur mit Paketnamen abgeglichen.

  5. Um die Repositorys und Pakete anzuzeigen, die von deinem Repository abhängen, klicke optional unter „Abhängigkeitsdiagramm“ auf Abhängige Elemente.

    Screenshot: Seite „Abhängigkeitsdiagramm“. Die Registerkarte „Abhängige Elemente“ ist orange umrandet.

    Hinweis

    GitHub bestimmt derzeit nur Abhängigkeiten für öffentliche Repositorys.

Abhängigkeitsansicht

Für jede Abhängigkeit können Sie das Ökosystem, die Manifestdatei, in der sie gefunden wurde, und ihre Lizenz (wo erkannt) sehen.

  • Abhängigkeiten für private Repositorys, private Paketen oder nicht erkannte Dateien werden im Nur-Text-Format angezeigt.

  • Wenn sich der Paket-Manager für die Abhängigkeit in einem öffentlichen Repository befindet, kannst du mit dem Mauszeiger auf den Abhängigkeitsnamen zeigen, um ein Popupfenster mit den zugeordneten Repositoryinformationen anzuzeigen.

  • Du kannst Abhängigkeiten sortieren und filtern, indem du in der Suchleiste Filter als key:value-Paare eingeben.

    • Verwenden Sie ecosystem: <ecosystem-name>, um Abhängigkeiten für das ausgewählte Ökosystem anzuzeigen.
    • Verwende relationship:, um die Liste nach Beziehungsstatus zu filtern. Mögliche Werte sind direct, transitive und inconclusive. Alternativ kannst du auf die Beziehungsbezeichnung neben einem Abhängigkeitsnamen klicken, um ausschließlich Abhängigkeiten desselben Beziehungsstatus anzuzeigen. Dieser Filter ist nur für Ökosysteme mit Unterstützung transitiver Abhängigkeiten verfügbar. Weitere Informationen finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme .

Abhängigkeiten, die mithilfe von Abhängigkeitsübermittlungs-API für ein Projekt eingereicht wurden, zeigen an, welcher Detektor für ihre Einreichung verwendet wurde und wann sie eingereicht wurden. Weitere Informationen zur Verwendung des Abhängigkeitsübermittlungs-API finden Sie unter Verwenden der Abhängigkeitsübermittlungs-API.

Wenn Sicherheitsrisiken im Repository erkannt wurden, werden diese oben in der Ansicht für Benutzer mit Zugriff angezeigt Dependabot alerts.

Ansicht der abhängigen Elemente

Bei öffentlichen Repositorys zeigt die Ansicht der abhängigen Elemente, wie das Repository von anderen Repositorys verwendet wird. Wenn du nur die Repositorys anzeigen möchtest, die eine Bibliothek in einem Paket-Manager enthalten, klicke direkt oberhalb der Liste der abhängigen Repositorys auf ANZAHL Pakete. Bei der Anzahl der abhängigen Elemente handelt es sich um Schätzwerte, die möglicherweise nicht immer mit den aufgelisteten Abhängigen übereinstimmen.

Weiterführende Lektüre