Informationen zum Abhängigkeitsdiagramm

Informationen zum Abhängigkeitsdiagramm

Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und gesperrten Dateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt:

• Abhängigkeiten (die Ökosysteme und Pakete, von denen es abhängig ist)
• Abhängige Elemente (die Repositorys und Pakete, die von ihm abhängig sind)

Für jede Abhängigkeit kannst du die Version, die Lizenzinformationen, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt, und du kannst auf „“ und dann auf „Show paths“ klicken, um den transitiven Pfad anzuzeigen, der die Abhängigkeit eingeführt hat.

Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen.

Weitere Informationen zu den unterstützten Ökosystemen und Manifestdateien finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

Beim Erstellen einer Pullanforderung, die Änderungen an Abhängigkeiten enthält und auf den Standardbranch abzielt, verwendet GitHub das Abhängigkeitsdiagramm, um Abhängigkeitsüberprüfungen zur Pullanforderung hinzuzufügen. Diese geben an, ob die Abhängigkeiten Sicherheitsrisiken enthalten und zeigen ggf. die Version der Abhängigkeit an, in der die Sicherheitsanfälligkeit behoben wurde. Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung.

Erstellen des Abhängigkeitsdiagramms

Das Abhängigkeitsdiagramm analysiert Abhängigkeiten automatisch, indem Manifeste analysiert und Dateien in Ihrem Repository gesperrt werden. Sie können daten auch selbst übermitteln. Weitere Informationen finden Sie unter Wie das Abhängigkeitsdiagramm Abhängigkeiten erkennt.

Verfügbarkeit von Abhängigkeitsdiagrammen

Repositoryadmins können das Abhängigkeitsdiagramm für Repositorys aktivieren oder deaktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Repositoryadmins können das Abhängigkeitsdiagramm für Repositorys aktivieren oder deaktivieren. Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms.

Abhängige Elemente und „Verwendet von“-Daten

Für öffentliche Repositorys listet das Abhängigkeitsdiagramm Abhängigkeiten auf. Dies sind andere öffentliche Repositorys, die vom Repository oder von Paketen abhängen, die es veröffentlicht. Diese Informationen werden für private Repositorys nicht gemeldet.

Einige Repositorys haben einen Abschnitt "Verwendet von" in der Randleiste der Registerkarte "Code ". Dieser Abschnitt zeigt die Anzahl der öffentlichen Verweise auf ein gefundenes Paket und zeigt die Avatare einiger Besitzer der abhängigen Projekte an. Wenn Sie auf ein element in diesem Abschnitt klicken, gelangen Sie zur Registerkarte "Abhängige Elemente" des Abhängigkeitsdiagramms .

Ihr Repository enthält einen Abschnitt "Verwendet von", wenn:

• Das Abhängigkeitsdiagramm ist für das Repository aktiviert.
• Ihr Repository enthält ein Paket, das in einem unterstützten Paketökosystem veröffentlicht wird. Weitere Informationen findest du unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.
• Innerhalb des Ökosystems verfügt dein Paket über einen Link zu einem öffentlichen Repository, in dem die Quelle gespeichert ist.
• Mehr als 100 Repositorys sind von deinem Paket abhängig.

Der Abschnitt „Verwendet von“ stellt ein einzelnes Paket aus dem Repository dar. Wenn du über Administratorberechtigungen für ein Repository verfügst, das mehrere Pakete enthält, kannst du auswählen, welches Paket im Abschnitt „Verwendet von“ angezeigt werden soll. Weitere Informationen findest du unter Ändern der "verwendet von" Daten für ein Repository.

Was Sie mit dem Abhängigkeitsdiagramm tun können

Du kannst das Abhängigkeitsdiagramm verwenden, um folgende Aktionen auszuführen:

• Erkunden der Repositorys, von denen dein Code abhängig ist,, und denen, die von ihm abhängig sind. Weitere Informationen finden Sie unter Untersuchen der Abhängigkeiten eines Repositorys.
• Anzeigen einer Zusammenfassung der in den Repositorys deiner Organisation verwendeten Abhängigkeiten in einem einzelnen Dashboard. Weitere Informationen findest du unter Erkenntnisse zu den Abhängigkeiten in Ihrer Organisation anzeigen.
• Anzeigen und Aktualisieren von sicherheitsanfälligen Abhängigkeiten für dein Repository. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen.
• Informationen zu sicherheitsanfälligen Abhängigkeiten in Pullanforderungen. Weitere Informationen finden Sie unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.
• Exportieren Sie eine Software-Stückliste (SBOM) für Audit- oder Compliance-Zwecke. Dies ist ein formaler, maschinenlesbarer Bestand der Abhängigkeiten eines Projekts. Weitere Informationen findest du unter Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository.

Weiterführende Lektüre

•         [Abhängigkeitsdiagramm](https://en.wikipedia.org/wiki/Dependency_graph) auf Wikipedia
  

•         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)
  

•         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
  

•         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)