Sobre el gráfico de dependencias
El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra dependencias, los ecosistemas y paquetes de los cuales depende.
Para cada dependencia, puedes ver la versión, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. Para los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y puedes hacer clic en "", luego "Mostrar rutas de acceso", para ver la ruta transitiva que trajo a la dependencia.
También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con paquetes vulnerables en la parte superior.
GitHub no recupera la información de licencia para las dependencias, y no calcula la información sobre las dependencias, los repositorios y los paquetes que dependen de un repositorio.
Para obtener más información sobre los ecosistemas y archivos de manifiesto compatibles, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.
Cuando creas una solicitud de cambios que contenga los cambios de las dependencias que apuntan a la rama predeterminada, GitHub utiliza la gráfica de dependencias para agregar revisiones de dependencia a la solicitud de cambios. Estas indican si las dependencias contendrán vulnerabilidades y, si es el caso, la versión de la dependencia en la cual se arregló la vulnerabilidad. Para más información, consulta Acerca de la revisión de dependencias.
Cómo se compila el gráfico de dependencias
El gráfico de dependencias analiza automáticamente las dependencias mediante el análisis de manifiestos y archivos de bloqueo en el repositorio. También puede enviar datos usted mismo. Para más información, consulta Cómo reconoce el gráfico de dependencias las dependencias.
Disponibilidad de la gráfica de dependencias
Los propietarios de la empresa pueden configurar el gráfico de dependencias y las Dependabot alerts para una empresa. Para más información, consulta Habilitación del gráfico de dependencias para la empresa y Habilitación de Dependabot para la empresa.
Para obtener más información sobre la configuración del gráfico de dependencias, consulte Habilitar el gráfico de dependencias.
Qué puede hacer con el gráfico de dependencias
Puedes utilizar la gráfica de dependencias para:
- Explore los repositorios de los que depende el código en. Para más información, consulta Explorar las dependencias de un repositorio.
- Ver y actualizar las dependencias vulnerables de tu repositorio. Para más información, consulta Acerca de las alertas Dependabot.
- Consulta la información sobre las dependencias vulnerables en las solicitudes de cambios. Para más información, consulta Revisar los cambios en las dependencias en un pull request.
- Exporte una lista de materiales de software (SBOM) con fines de auditoría o cumplimiento. Se trata de un inventario formal legible por máquina de las dependencias de un proyecto. Consulta Exportación de una lista de materiales de software para el repositorio.
Lectura adicional
-
[Gráfico de dependencias](https://en.wikipedia.org/wiki/Dependency_graph) en Wikipedia -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)