Sobre el gráfico de dependencias

Sobre el gráfico de dependencias

El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra:

• Las dependencias, ecosistemas y paquetes de los cuales depende
• Dependientes, los repositorios y paquetes que dependen de él

Para cada dependencia, puedes ver la versión, información de licencia, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. Para los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y puedes hacer clic en "", luego "Mostrar rutas de acceso", para ver la ruta transitiva que trajo a la dependencia.

También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con paquetes vulnerables en la parte superior.

Para obtener más información sobre los ecosistemas y archivos de manifiesto compatibles, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.

Cuando creas una solicitud de cambios que contenga los cambios de las dependencias que apuntan a la rama predeterminada, GitHub utiliza la gráfica de dependencias para agregar revisiones de dependencia a la solicitud de cambios. Estas indican si las dependencias contendrán vulnerabilidades y, si es el caso, la versión de la dependencia en la cual se arregló la vulnerabilidad. Para más información, consulta Acerca de la revisión de dependencias.

Cómo se compila el gráfico de dependencias

El gráfico de dependencias analiza automáticamente las dependencias mediante el análisis de manifiestos y archivos de bloqueo en el repositorio. También puede enviar datos usted mismo. Para más información, consulta Cómo reconoce el gráfico de dependencias las dependencias.

Disponibilidad de la gráfica de dependencias

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. Para obtener más información, consulta Administración de la configuración de seguridad y análisis para el repositorio.

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. Consulta Habilitar el gráfico de dependencias.

Datos dependientes y "usados por"

En el caso de los repositorios públicos, el gráfico de dependencias enumera los dependientes. Estos son otros repositorios públicos que dependen del repositorio o de los paquetes que publica. Esta información no se notifica para repositorios privados.

Algunos repositorios tienen una sección "Usada por" en la barra lateral de la pestaña Código . En esta sección se muestra el número de referencias públicas a un paquete que se encontraron y se muestran los avatares de algunos de los propietarios de los proyectos dependientes. Al hacer clic en cualquier elemento de esta sección, se le redirigirá a la pestaña Dependientes del gráfico de dependencias.

El repositorio tendrá una sección "Usada por" si:

• El gráfico de dependencias está habilitado para el repositorio.
• El repositorio contiene un paquete que se publica en un ecosistema de paquetes compatible. Consulta Ecosistemas de paquetes que soportan el gráfico de dependencias.
• Dentro del ecosistema, su paquete tiene un vínculo a un repositorio público donde se almacena el origen.
• Más de 100 repositorios dependen del paquete.

La sección de "Utilizado por" representa un solo paquete del repositorio. Si tienes permisos de administrador en un repositorio que contenga paquetes múltiples, puedes elegir qué paquete reporesenta la sección de "Utilizado por". Consulta Cambio de los datos "usados por" de un repositorio.

Qué puede hacer con el gráfico de dependencias

Puedes utilizar la gráfica de dependencias para:

• Explore los repositorios de los que depende el código en y los que dependen de él. Para más información, consulta Explorar las dependencias de un repositorio.
• Ver en un solo tablero un resumen de las dependencias que se utilizan en los repositorios de tu organización. Para más información, consulta Ver información sobre dependencias de su organización.
• Ver y actualizar las dependencias vulnerables de tu repositorio. Para más información, consulta Acerca de las alertas Dependabot.
• Consulta la información sobre las dependencias vulnerables en las solicitudes de cambios. Para más información, consulta Revisar los cambios en las dependencias en un pull request.
• Exporte una lista de materiales de software (SBOM) con fines de auditoría o cumplimiento. Se trata de un inventario formal legible por máquina de las dependencias de un proyecto. Consulta Exportación de una lista de materiales de software para el repositorio.

Lectura adicional

•         [Gráfico de dependencias](https://en.wikipedia.org/wiki/Dependency_graph) en Wikipedia
  

•         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)
  

•         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
  

•         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)