Exploration des dépendances d’un dépôt

Vous pouvez utiliser le graphique de dépendances pour voir les packages dont dépend votre projet et les référentiels qui en dépendent. En outre, vous pouvez voir l’ensemble des vulnérabilités détectées dans ses dépendances.

Qui peut utiliser cette fonctionnalité ?

Administrateurs de référentiels, propriétaire d’organisation et personnes disposant d’un accès en écriture ou en maintenance à un référentiel

Dans cet article

Affichage du graphe de dépendances

Le graphique des dépendances affiche les dépendances et les dépendances de votre référentiel.
Pour chaque dépendance, vous pouvez voir la version, les informations de licence, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur «  », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.

Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste. Pour plus d’informations sur la détection des dépendances et sur les écosystèmes pris en charge, consultez Écosystèmes de packages pris en charge par le graphe des dépendances.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Insights.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet, marqué d’une icône de graphique et du titre « Insights », est mis en évidence en orange.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.

    Capture d’écran de l’onglet « Graphe des dépendances ». L’onglet est mis en évidence avec un encadré orange.

  4. Si vous le souhaitez, utilisez la barre de recherche pour rechercher une dépendance spécifique ou un ensemble de dépendances. Vous pouvez utiliser les mots-clés ecosystem: pour afficher uniquement les packages d’un certain type, ou relationship: pour afficher uniquement les dépendances directes ou transitives (si l’écosystème prend en charge la transitivité). Les mots saisis tels quels dans la barre de recherche ne correspondent qu’aux noms de packages.

  5. Si vous le souhaitez, pour afficher les référentiels et packages qui dépendent de votre dépôt, sous « Graphique de dépendances », cliquez sur Éléments dépendants.

    Capture d’écran de la page « Graphe des dépendances ». L’onglet « Dépendants » est mis en surbrillance avec un encadré orange.

    Remarque

    GitHub détermine uniquement actuellement les dépendants pour les référentiels publics.

Affichage des dépendances

Pour chaque dépendance, vous pouvez voir son écosystème, le fichier manifeste dans lequel il a été trouvé et sa licence (où elle est détectée).

  • Les dépendances des référentiels privés, des packages privés ou des fichiers non reconnus sont affichées en texte brut.

  • Si le gestionnaire de package pour la dépendance se trouve dans un référentiel public, vous pouvez pointer sur le nom de la dépendance pour afficher une fenêtre contextuelle avec les informations de référentiel associées.

  • Vous pouvez trier et filtrer les dépendances en saisissant des filtres sous forme de paires key:value dans la barre de recherche.

    • Permet ecosystem: <ecosystem-name> d’afficher les dépendances pour l’écosystème sélectionné.
    • Utilisez relationship: pour filtrer la liste par statut de relation. Les valeurs possibles sont direct, transitive et inconclusive. Vous pouvez également cliquer sur l’étiquette de relation adjacente au nom d’une dépendance pour n’afficher que les dépendances ayant le même statut de relation. Ce filtre est uniquement disponible pour les écosystèmes prenant en charge les dépendances transitives. Pour plus d’informations, consultez Écosystèmes de packages pris en charge par le graphe des dépendances .

Les dépendances soumises à un projet via le API de soumission de dépendances indiqueront quel détecteur a été utilisé lors de leur soumission, ainsi que la date à laquelle elles ont été soumises. Pour plus d’informations sur l’utilisation de l’objet API de soumission de dépendances, consultez Utilisation de l’API de soumission de dépendances.

Si des vulnérabilités ont été détectées dans le référentiel, celles-ci sont affichées en haut de la vue pour les utilisateurs ayant accès à Dependabot alerts.

Affichage des éléments dépendants

Pour les référentiels publics, l’affichage des éléments dépendants montre comment le référentiel est utilisé par les autres dépôts. Pour afficher uniquement les référentiels qui contiennent une bibliothèque dans un gestionnaire de package, cliquez sur nombre packages juste au-dessus de la liste des référentiels dépendants. Les nombres d’éléments dépendants sont approximatifs et peuvent ne pas toujours correspondre aux dépendants listés.

Lectures complémentaires