Activation du graphe de dépendances

Vous pouvez autoriser les utilisateurs à identifier les dépendances de leurs projets en activant le graphe des dépendances.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

Le graphe de dépendances est un résumé des fichiers manifest et lock stockés dans un référentiel, ainsi que de toutes les dépendances soumises pour ce référentiel via le API de soumission de dépendances. Pour plus d’informations, consultez « À propos du graphe de dépendances ».

Lorsque le graphe de dépendances est activé pour la première fois, tous les fichiers de manifeste et de verrou pour les écosystèmes pris en charge sont analysés immédiatement. Le graphe est généralement rempli en quelques minutes, mais cela peut prendre plus de temps pour les dépôts avec de nombreuses dépendances. Une fois activé, le graphe est automatiquement mis à jour avec chaque poussée vers le dépôt et chaque poussée vers d’autres dépôts dans le graphe.

Activation du graphique de dépendances pour un référentiel

L’activation du graphique de dépendances donne GitHub accès en lecture seule au manifeste de dépendance et aux fichiers de verrouillage d’un référentiel.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Lisez le message sur l’octroi à GitHub de l’accès en lecture seule aux données du dépôt pour activer le graphe de dépendances, puis en regard de « Graphe de dépendances », cliquez sur Activer.

    Vous pouvez désactiver le graphe des dépendances à tout moment en cliquant sur Désactiver à regard de « Graphe des dépendances » sur la page des paramètres de « Advanced Security ».

Activation du graphique de dépendances pour plusieurs référentiels

Vous pouvez activer ou désactiver le graphique de dépendances pour tous les référentiels appartenant à votre compte d’utilisateur, quelle que soit leur visibilité. Consultez Gestion des fonctionnalités de sécurité et d’analyse.

Vous pouvez également activer le graphe de dépendances pour plusieurs référentiels d’une organisation en même temps. Pour en savoir plus, consultez Configuration des fonctionnalités de sécurité dans votre organisation.

Étapes suivantes

Vous pouvez utiliser le API de soumission de dépendances pour envoyer des dépendances à partir du gestionnaire de package ou de l’écosystème de votre choix, même si l’écosystème n’est pas pris en charge par le graphique de dépendances pour l’analyse du manifeste ou du verrouillage des fichiers. Les dépendances soumises à un projet à l’aide de API de soumission de dépendances indiqueront quel détecteur a été utilisé pour leur soumission et quand elles ont été soumises. Pour plus d'informations sur l'API API de soumission de dépendances, consultez Utilisation de l’API de soumission de dépendances.

Pour plus d’informations sur l’affichage du graphe des dépendances, consultez Exploration des dépendances d’un dépôt.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository)

  •         [AUTOTITLE](/organizations/collaborating-with-groups-in-organizations/viewing-insights-for-dependencies-in-your-organization)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)