テーブルの理解
依存関係グラフでは、直接的および間接的 (推移的) の依存関係に対してデータを送信するさまざまな方法がサポートされています。 「依存関係グラフが依存関係を認識する方法」を参照してください。
次の表に示します。
-
**静的推移的な依存関係**と**自動依存関係の送信**では、データを送信するためのサポートされているメソッドが表示されます。 - 静的 推移的依存関係 列は、静的分析によって、そのエコシステム内の依存パッケージの
directラベルとtransitiveラベルが追加されるかどうかを示します。 -
**[推奨されるファイル**] 列では、すべての直接依存関係とすべての間接依存関係に使用されるバージョンを明示的に定義する形式が提案されます。 これらのファイルは、ビルドに含まれるバージョンにパッケージのバージョンをロックし、Dependabot が直接依存関係と間接依存関係の両方で脆弱なバージョンを見つけられるようにします。
サポートされているパッケージ エコシステム
| パッケージ マネージャー | 言語 | 静的な推移的依存関係 | 依存関係の自動送信 | 推奨ファイル | 追加ファイル |
|---|---|---|---|---|---|
| Bazel | Starlark |
`MODULE.bazel`、`WORKSPACE` |
`MODULE.bazel.lock`、`maven_install.json`、`*.MODULE.bazel` |
| |
| 貨物 | Rust | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | composer.lock | composer.json |
| NuGet | .NET言語 (C#、F#、VB)、C++ | | |
.csproj、.vbproj、.nuspec、.vcxproj、.fsproj | packages.config |
| GitHub Actionsのワークフロー | YAML | | |
.yml、.yaml | |
| Go モジュール | Go | | | go.mod| |
| Gradle | Java | | | | |
| |
| ジュリア | ジュリア | | | Manifest.toml | Project.toml |
| |
| Maven | Java、Scala | | | pom.xml | |
| npm | JavaScript | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | .terraform.lock.hcl |
.tf、.tofu |
| |
| pip | Python | | |
requirements.txt、pipfile.lock |
pipfile、setup.py |
| pnpm | JavaScript | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | pubspec.lock | pubspec.yaml |
| 詩 | Python | | | poetry.lock | pyproject.toml |
| RubyGems | Ruby | | | Gemfile.lock |
Gemfile、*.gemspec |
| Swift Package Manager | Swift | | | Package.resolved | |
| Yarn | JavaScript | | | yarn.lock | package.json |
メモ
*
setup.py ファイル内でPythonの依存関係を一覧表示した場合、プロジェクト内のすべての依存関係を解析して一覧表示できない可能性があります。
- マニフェストとして認識するには、GitHub Actions ワークフローをリポジトリの
.github/workflows/ディレクトリに配置する必要があります。 構文jobs[*].steps[*].usesまたはjobs.<job_id>.usesを使用して参照されるアクションまたはワークフローは、依存関係として解析されます。 詳しくは、「GitHub Actions のワークフロー構文」をご覧ください。 - GitHub Actions の場合、Dependabot alerts は、SHA バージョン管理ではなくセマンティック バージョン管理を使用するアクションに対してのみ生成されます。詳細については、「Dependabot アラートについて」と「GitHub Dependabot のバージョンアップデートについて」を参照してください。
コミュニティが維持するエコシステム
コミュニティによって管理されていることをご利用の方にお知らせいたします。
| エコシステム | によって管理されます。 |
|---|---|
| ジュリア | Julia コミュニティ |
| OpenTofu | OpenTofu コミュニティ |
| pub | ダート コミュニティ |