À propos du graphe de dépendances
Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche les dépendances, c’est-à-dire les écosystèmes et les packages dont il dépend.
Pour chaque dépendance, vous pouvez voir la version, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur « », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.
Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste.
GitHub ne récupère pas les informations de licence pour les dépendances, et ne calcule pas les informations sur les dépendants, les référentiels et les packages qui dépendent d’un référentiel. Pour plus d’informations, consultez À propos du graphe de dépendances
Une fois que vous avez activé le graphique de dépendance, les utilisateurs ont accès à la fonctionnalité de révision des dépendances. Une révision des dépendances vous aide à comprendre les changements de dépendances et l’impact de ceux-ci sur la sécurité à chaque demande de tirage. Pour plus d’informations, consultez À propos de la vérification des dépendances.
Une fois que vous avez activé le graphe des dépendances pour votre entreprise, vous pouvez activer Dependabot afin de détecter les dépendances non sécurisées dans votre dépôt et corriger automatiquement les vulnérabilités. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
Vous pouvez activer le graphe des dépendances via la Management Console ou l’interpréteur de commandes d’administration. Nous recommandons d’utiliser la Management Console, sauf si votre instance utilise le clustering.
Activation du graphe de dépendances via la Management Console
Si votre instance utilise le clustering, vous ne pouvez pas activer le graphe des dépendances avec la Management Console. Vous devez utiliser à la place l’interpréteur de commandes d’administration. Pour plus d’informations, consultez Activation du graphe de dépendances via l’interpréteur de commandes d’administration.
-
Connectez-vous à votre instance GitHub Enterprise Server à l’adresse
http(s)://HOSTNAME/login. -
À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur en haut à droite de n’importe quelle page.
-
Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.
-
Dans la barre latérale « Site admin », cliquez sur Management Console.
-
Dans la barre latérale « Paramètres », cliquez sur Sécurité.
-
Sous « Sécurité », sélectionnez Graphe des dépendances.
-
Sous la barre latérale « Paramètres », cliquez sur Enregistrer les paramètres.
Remarque
L’enregistrement des paramètres dans la Management Console redémarre les services système, ce qui peut entraîner un temps d’arrêt visible pour l’utilisateur.
-
Attendez la fin de l’exécution de la configuration.
-
Cliquez sur Accéder à votre instance.
Activation du graphe de dépendances via l’interpréteur de commandes d’administration
-
Connectez-vous à votre instance GitHub Enterprise Server à l’adresse
http(s)://HOSTNAME/login. -
Dans l’interpréteur de commandes d’administration, activez le graphe des dépendances :
ghe-config app.dependency-graph.enabled trueRemarque
Pour plus d’informations sur l’activation de l’accès à l’interpréteur de commandes d’administration via SSH, consultez Accès à l’interpréteur de commandes d’administration (SSH).
-
Appliquez la configuration.
ghe-config-apply -
Revenez à GitHub Enterprise Server.