Grundlegendes zur Tabelle
Das Abhängigkeitsdiagramm unterstützt verschiedene Methoden zum Übermitteln von Daten für direkte und indirekte Abhängigkeiten (transitive). Weitere Informationen findest du unter Wie das Abhängigkeitsdiagramm Abhängigkeiten erkennt.
In der folgenden Tabelle:
- Die statischen transitiven Abhängigkeiten und die automatische Abhängigkeitsübermittlung zeigen Ihnen unterstützte Methoden zum Senden von Daten.
- Die Spalte "Statische transitive Abhängigkeiten" gibt auch an, ob durch statische Analysen Labels für abhängige Pakete in diesem Ökosystem hinzugefügt und mit
directundtransitivebeschriftet werden. - In der Spalte "Empfohlene Dateien " werden Formate vorgeschlagen, die explizit definieren, welche Versionen für alle direkten und alle indirekten Abhängigkeiten verwendet werden. Diese Dateien fixieren die Paketversionen auf diejenigen, die im Build enthalten sind, und ermöglicht es Dependabot, anfällige Versionen sowohl in direkten als auch in indirekten Abhängigkeiten zu finden.
Unterstützte Paketökosysteme
| Paket-Manager | Sprachen | Statische transitive Abhängigkeiten | Automatische Abhängigkeitsübermittlung | Empfohlene Dateien | Zusätzliche Dateien |
|---|---|---|---|---|---|
| Bazel | Starlark |
`MODULE.bazel`, `WORKSPACE` |
`MODULE.bazel.lock`, `maven_install.json``*.MODULE.bazel` |
| |
| Fracht | Rust | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | composer.lock | composer.json |
| NuGet | .NET Sprachen (C#, F#, VB), C++ | | |
.csproj, , .vbproj``.nuspec, , .vcxproj``.fsproj | packages.config |
| GitHub Actions-Workflows | YAML | | |
.yml, .yaml | |
| Go-Module | Los geht's | | | go.mod| |
| Gradle | Java | | | | |
| |
| Julia | Julia | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | pom.xml | |
| npm | JavaScript | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| pip | Python | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | pubspec.lock | pubspec.yaml |
| Poesie | Python | | | poetry.lock | pyproject.toml |
| RubyGems | Rubin | | | Gemfile.lock |
Gemfile, *.gemspec |
| Swift Package Manager | Swift | | | Package.resolved | |
| Yarn | JavaScript | | | yarn.lock | package.json |
Hinweis
- Wenn Sie Ihre Python Abhängigkeiten in einer
setup.pyDatei auflisten, können wir möglicherweise nicht jede Abhängigkeit in Ihrem Projekt analysieren und auflisten. - GitHub Actions-Workflows müssen sich im
.github/workflows/-Verzeichnis eines Repositorys befinden, um als Manifeste erkannt zu werden. Alle Aktionen oder Workflows, auf die mithilfe der Syntaxjobs[*].steps[*].usesoderjobs.<job_id>.usesverwiesen wird, werden als Abhängigkeiten analysiert. Weitere Informationen finden Sie unter Workflowsyntax für GitHub Actions. - Für GitHub Actions werden Dependabot alerts nur für Aktionen generiert, die semantische Versionierung verwenden, nicht für SHA-Versionierung. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und Informationen zu Updates von Dependabot-Versionen.
Von der Gemeinschaft verwaltete Ökosysteme
Die folgenden Ökosysteme werden von ihren vorgelagerten Community-Betreuern gepflegt. GitHub integriert Dependabot mit diesen Ökosystemen, verwaltet sie jedoch nicht direkt.
| Ökosystem | Gepflegt von |
|---|---|
| Julia | Julia Community |
| OpenTofu | OpenTofu Community |
| pub | Dart-Community |