Explorar las dependencias de un repositorio

Puedes usar el gráfico de dependencias para ver los paquetes de los que depende tu proyecto. Adicionalmente, puedes ver cualquier vulnerabilidad que se detecte en sus dependencias.

¿Quién puede utilizar esta característica?

Administradores de repositorios, propietarios de la organización y personas con acceso de escritura o mantenimiento a un repositorio

En este artículo

Visualizar la gráfica de dependencias

El gráfico de dependencias muestra las dependencias del repositorio. Para cada dependencia, puedes ver la versión, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. Para los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y puedes hacer clic en "", luego "Mostrar rutas de acceso", para ver la ruta transitiva que trajo a la dependencia.

También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con paquetes vulnerables en la parte superior. Para obtener información sobre la detección de dependencias y los ecosistemas compatibles, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Insights.

    Captura de pantalla de la página principal de un repositorio. En la barra de navegación horizontal, una pestaña, etiquetada con un icono de grafo e "Información", se destaca en naranja.

  3. En la barra lateral izquierda, haga clic en Gráfico de dependencias.

    Captura de pantalla de la pestaña "Gráfico de dependencias". La pestaña está resaltada con un contorno naranja.

  4. Opcionalmente, usa la barra de búsqueda para buscar una dependencia específica o un conjunto de dependencias. Puedes usar las palabras clave ecosystem: para mostrar solo paquetes de un tipo determinado o relationship: para mostrar solo dependencias directas o transitivas (si el ecosistema admite transitividad). Las palabras sin formato de la barra de búsqueda solo coincidirán con los nombres de paquete.

Los propietarios de las empresas pueden configurar el gráfico de dependencias a nivel empresarial. Para más información, consulta Habilitación del gráfico de dependencias para la empresa.

Vista de dependencias

Se listará cualquier dependencia directa e indirecta que se especifique en los archivos de bloqueo o de manifiesto del repositorio.

Las dependencias enviadas a un proyecto mediante la API de envío de dependencias mostrarán qué detector se ha usado para su envío y cuándo se han enviado. Para más información sobre el uso de la API de envío de dependencias, consulte Uso de la Dependency submission API.

Si se han detectado vulnerabilidades en el repositorio, estas se muestran en la parte superior de la vista para los usuarios con acceso a Dependabot alerts.

Nota:

GitHub Enterprise Server no rellena la vista Dependientes.

Lectura adicional

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)