Descripción de la tabla
El gráfico de dependencias admite diferentes métodos de envío de datos para dependencias directas e indirectas (transitivas). Consulta Cómo reconoce el gráfico de dependencias las dependencias.
En la tabla siguiente:
- Las dependencias transitivas estáticas y el envío automático de dependencias muestran los métodos admitidos para enviar datos.
- La columna Dependencias transitivas estáticas también indica si el análisis estático agregará
directetiquetas ytransitiveetiquetas para los paquetes dependientes de ese ecosistema. - La columna Archivos recomendados sugiere formatos que definen explícitamente qué versiones se usan para todas las dependencias directas y indirectas. Estos archivos bloquean las versiones del paquete en las incluidas en la compilación y permiten a Dependabot encontrar versiones vulnerables en dependencias directas e indirectas.
Ecosistemas de paquetes compatibles
| Administrador de paquetes | Idiomas | Dependencias transitivas estáticas | Envío automático de dependencias | Archivos recomendados | Archivos adicionales |
|---|---|---|---|---|---|
| Bazel | Starlark |
`MODULE.bazel`, `WORKSPACE` |
`MODULE.bazel.lock`, , `maven_install.json`, `*.MODULE.bazel` |
| |
| Cargo | Óxido | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | composer.lock | composer.json |
| NuGet | .NET lenguajes (C#, F#, VB), C++ | | |
.csproj, .vbproj, .nuspec, , .vcxproj, .fsproj | packages.config |
| Flujos de trabajo de GitHub Actions | YAML | | |
.yml, .yaml | |
| Módulos de Go | Go | | | go.mod| |
| Gradle | Java | | | | |
| |
| Julia | Julia | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | pom.xml | |
| npm | JavaScript | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| pip | Python | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | pubspec.lock | pubspec.yaml |
| Poesía | Python | | | poetry.lock | pyproject.toml |
| RubyGems | Rubí | | | Gemfile.lock |
Gemfile, *.gemspec |
| Swift Package Manager | Swift | | | Package.resolved | |
| Yarn | JavaScript | | | yarn.lock | package.json |
Nota:
- Si enumera las dependencias de Python en un archivo
setup.py, es posible que no podamos analizar y enumerar todas las dependencias de su proyecto. - Los flujos de trabajo de GitHub Actions se deben ubicar en el directorio
.github/workflows/de un repositorio para que se reconozcan como manifiestos. Las acciones o flujos de trabajo a los que se hace referencia mediante la sintaxisjobs[*].steps[*].usesojobs.<job_id>.usesse analizarán como dependencias. Para más información, consulta Sintaxis del flujo de trabajo para GitHub Actions. - Para GitHub Actions, Dependabot alerts solo se generan para acciones que usan el control de versiones semántico, no el control de versiones SHA. Para obtener más información, consulte Acerca de las alertas Dependabot y Acerca de las actualizaciones a la versión del Dependabot.
Ecosistemas mantenidos por la comunidad
Sus mantenedores comunitarios ascendentes mantienen los siguientes ecosistemas. GitHub integra Dependabot con estos ecosistemas sin mantenerlos directamente.
| Ecosistema | Mantenido por |
|---|---|
| Julia | Comunidad de Julia |
| OpenTofu | Comunidad de OpenTofu |
| pub | Comunidad Dart |