Explorar las dependencias de un repositorio

Puedes usar el gráfico de dependencias para ver los paquetes de los que depende tu proyecto y los repositorios que dependen de él. Adicionalmente, puedes ver cualquier vulnerabilidad que se detecte en sus dependencias.

¿Quién puede utilizar esta característica?

Administradores de repositorios, propietarios de la organización y personas con acceso de escritura o mantenimiento a un repositorio

En este artículo

Visualizar la gráfica de dependencias

El gráfico de dependencias muestra las dependencias y los dependientes del repositorio. Para cada dependencia, puedes ver la versión, información de licencia, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. Para los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y puedes hacer clic en "", luego "Mostrar rutas de acceso", para ver la ruta transitiva que trajo a la dependencia.

También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con paquetes vulnerables en la parte superior. Para obtener información sobre la detección de dependencias y los ecosistemas compatibles, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Insights.

    Captura de pantalla de la página principal de un repositorio. En la barra de navegación horizontal, una pestaña, etiquetada con un icono de grafo e "Información", se destaca en naranja.

  3. En la barra lateral izquierda, haga clic en Gráfico de dependencias.

    Captura de pantalla de la pestaña "Gráfico de dependencias". La pestaña está resaltada con un contorno naranja.

  4. Opcionalmente, usa la barra de búsqueda para buscar una dependencia específica o un conjunto de dependencias. Puedes usar las palabras clave ecosystem: para mostrar solo paquetes de un tipo determinado o relationship: para mostrar solo dependencias directas o transitivas (si el ecosistema admite transitividad). Las palabras sin formato de la barra de búsqueda solo coincidirán con los nombres de paquete.

  5. Opcionalmente, para ver los repositorios y paquetes que dependen del repositorio, en "Gráfico de dependencias", haz clic en Dependientes.

    Captura de pantalla de la página "Gráfico de dependencias". La pestaña "Dependientes" aparece resaltada con un contorno naranja.

    Nota:

    Actualmente, GitHub solo determina los dependientes de los repositorios públicos.

Vista de dependencias

Para cada dependencia, puedes ver su ecosistema, el archivo de manifiesto en el que se encontró y la licencia (donde se detectó).

  • Las dependencias para los repositorios privados, paquetes privados, o archivos no reconocidos se muestran en texto simple.

  • Si el administrador de paquetes de la dependencia está en un repositorio público, puedes mantener el puntero sobre el nombre de dependencia para mostrar un elemento emergente con la información del repositorio asociado.

  • Puede ordenar y filtrar las dependencias escribiendo filtros como pares key:value en la barra de búsqueda.

    • Use ecosystem: <ecosystem-name> para mostrar las dependencias del ecosistema seleccionado.
    • Use relationship: para filtrar la lista por estado de relación. Los valores posibles son direct, transitive y inconclusive. Como alternativa, puede hacer clic en la etiqueta de relación adyacente a un nombre de dependencia para mostrar solo las dependencias del mismo estado de relación. Este filtro solo está disponible para los ecosistemas con compatibilidad con dependencias transitivas. Consulta Ecosistemas de paquetes que soportan el gráfico de dependencias para obtener más información.

Las dependencias enviadas a un proyecto mediante la API de envío de dependencias mostrarán qué detector se ha usado para su envío y cuándo se han enviado. Para más información sobre el uso de la API de envío de dependencias, consulte Uso de la Dependency submission API.

Si se han detectado vulnerabilidades en el repositorio, estas se muestran en la parte superior de la vista para los usuarios con acceso a Dependabot alerts.

Vista de dependientes

Para los repositorios públicos, la vista de dependientes muestra cómo otros repositorios utilizan este repositorio. Para mostrar únicamente los repositorios que contienen una biblioteca en un administrador de paquetes, haga clic en la opción NUMBER Packages que aparece justo encima de la lista de repositorios dependientes. La cantidad de dependientes es aproximada y podría no siempre empatar con los dependientes listados.

Lectura adicional

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/organizations/collaborating-with-groups-in-organizations/viewing-insights-for-dependencies-in-your-organization)

  •         [AUTOTITLE](/get-started/privacy-on-github)