Untersuchen der Abhängigkeiten eines Repositorys

Du kannst das Abhängigkeitsdiagramm verwenden, um die Pakete, von denen dein Projekt abhängt, und die Repositorys, die davon abhängig sind, anzuzeigen. Darüber hinaus kannst du alle ermittelten Sicherheitsrisiken in ihren Abhängigkeiten anzeigen.

Wer kann dieses Feature verwenden?

Repositoryadministratoren, Organisationsbesitzer und Personen mit Schreib- oder Pflege-Zugriff auf ein Repository

In diesem Artikel

Anzeigen des Abhängigkeitsdiagramms

Das Abhängigkeitsdiagramm zeigt die Abhängigkeiten und abhängigen Elemente deines Repositorys. Für jede Abhängigkeit kannst du die Version, die Lizenzinformationen, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt, und du kannst auf „“ und dann auf „Show paths“ klicken, um den transitiven Pfad anzuzeigen, der die Abhängigkeit eingeführt hat.

Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen. Informationen zur Erkennung von Abhängigkeiten und zu den unterstützten Ökosystemen findest du unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Insights.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Insights“ beschriftet ist, orange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

    Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.

  4. Verwende optional die Suchleiste, um nach einer bestimmten Abhängigkeit oder nach mehreren Abhängigkeiten zu suchen. Du kannst die Schlüsselwörter ecosystem: verwenden, um nur Pakete eines bestimmten Typs anzuzeigen, oder relationship:, um nur direkte oder transitive Abhängigkeiten anzuzeigen (wenn das Ökosystem Transitivität unterstützt). Einfache Wörter in der Suchleiste werden nur mit Paketnamen abgeglichen.

Abhängigkeitsansicht

Für jede Abhängigkeit werden das Ökosystem, die Manifestdatei, in der sie gefunden wurde, und die Lizenz (sofern erkannt) angezeigt.

  • Abhängigkeiten für private Repositorys, private Paketen oder nicht erkannte Dateien werden im Nur-Text-Format angezeigt.

  • Wenn sich der Paket-Manager für die Abhängigkeit in einem öffentlichen Repository befindet, kannst du mit dem Mauszeiger auf den Abhängigkeitsnamen zeigen, um ein Popupfenster mit den zugeordneten Repositoryinformationen anzuzeigen.

  • Du kannst Abhängigkeiten sortieren und filtern, indem du in der Suchleiste Filter als key:value-Paare eingeben.

    • Verwende ecosystem: <ecosystem-name>, um Abhängigkeiten für das ausgewählte Ökosystem anzuzeigen.
    • Verwende relationship:, um die Liste nach Beziehungsstatus zu filtern. Mögliche Werte sind direct, transitive und inconclusive. Alternativ kannst du auf die Beziehungsbezeichnung neben einem Abhängigkeitsnamen klicken, um ausschließlich Abhängigkeiten desselben Beziehungsstatus anzuzeigen. Dieser Filter ist nur für Ökosysteme mit Unterstützung transitiver Abhängigkeiten verfügbar. Weitere Informationen findest du unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

Abhängigkeiten, die mithilfe der Abhängigkeitsübermittlungs-API an ein Projekt übermittelt wurden, zeigen an, welcher Detektor für ihre Übermittlung verwendet wurde und wann sie übermittelt wurden. Weitere Informationen zur Verwendung der Abhängigkeitsübermittlungs-API findest du unter Verwenden der Abhängigkeitsübermittlungs-API.

Wenn Sicherheitsrisiken im Repository erkannt wurden, werden diese oben in der Ansicht für Benutzer*innen mit Zugriff auf Dependabot alerts angezeigt.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) 

  •         [AUTOTITLE](/organizations/collaborating-with-groups-in-organizations/viewing-insights-for-dependencies-in-your-organization)