Exploration des dépendances d’un dépôt

Vous pouvez utiliser le graphique de dépendances pour afficher les packages dont dépend votre projet. En outre, vous pouvez voir l’ensemble des vulnérabilités détectées dans ses dépendances.

Qui peut utiliser cette fonctionnalité ?

Administrateurs de référentiels, propriétaire d’organisation et personnes disposant d’un accès en écriture ou en maintenance à un référentiel

Dans cet article

Affichage du graphe de dépendances

Le graphe de dépendances affiche les dépendances de votre dépôt. Pour chaque dépendance, vous pouvez voir la version, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur «  », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.

Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste. Pour plus d’informations sur la détection des dépendances et les écosystèmes pris en charge, consultez Écosystèmes de packages pris en charge pour le graphe des dépendances.

  1. Si vous le souhaitez, utilisez la barre de recherche pour rechercher une dépendance spécifique ou un ensemble de dépendances. Vous pouvez utiliser les mots-clés ecosystem: pour afficher uniquement les packages d’un certain type, ou relationship: pour afficher uniquement les dépendances directes ou transitives (si l’écosystème prend en charge la transitivité). Les mots saisis tels quels dans la barre de recherche ne correspondent qu’aux noms de packages.

Les propriétaires d’entreprise peuvent configurer le graphe de dépendances au niveau de l’entreprise. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise ».

Affichage des dépendances

Toutes les dépendances directes et indirectes spécifiées dans les fichiers manifeste ou de verrouillage du référentiel sont répertoriées.

Les dépendances soumises à un projet via l’API de soumission de dépendances indiquent quel détecteur a été utilisé pour leur soumission et quand elles ont été soumises. Pour plus d’informations sur l’utilisation de l’API de soumission de dépendances, consultez Utilisation de l’API de soumission de dépendances.

Si des vulnérabilités ont été détectées dans le dépôt, celles-ci apparaissent en haut de l’affichage pour les utilisateurs ayant accès aux Dependabot alerts.

Remarque

GitHub Enterprise Server ne renseigne pas la vue Dependents.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)