依存関係グラフについて
依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイル、および 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:の依存関係、すなわちリポジトリが依存するエコシステムとパッケージ。
依存関係ごとに、バージョン、それを含むマニフェスト ファイル、既知の脆弱性があるかどうかを確認できます。 推移的な依存関係をサポートするパッケージ エコシステムの場合、リレーションシップ状態が表示され、開示ボタン ([...]) を選ぶと、依存関係を生じさせた推移的なパスが表示されます。 推移的な依存関係のサポートの詳細については、「依存関係グラフでパッケージ エコシステムをサポート」を参照してください。
検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は自動的に並べ替えられ、脆弱性が一番上に表示されます。
GitHub では、依存関係のライセンス情報は取得されず、あるリポジトリに依存する依存物、リポジトリ、パッケージに関する情報は計算されません。
詳しくは、「依存関係グラフについて」をご覧ください。
依存関係グラフを有効にする
依存関係グラフがシステムで使用できない場合は、Enterprise 所有者が依存関係グラフを有効にすることができます。 詳しくは、「企業の依存関係グラフの有効化」をご覧ください。
依存関係グラフを初めて有効化すると、サポートされているエコシステムのマニフェストおよびロックファイルがすぐに解析されます。 グラフは通常数分以内に入力されますが、多くの依存関係を持つリポジトリの場合は時間がかかる場合があります。 有効にすると、リポジトリにプッシュするたびに、グラフが自動的に更新されます。
さらに、依存関係送信 API を使用して、マニフェストやロック ファイルの分析で依存関係グラフがサポートされていないエコシステムであっても、任意のパッケージ マネージャーやエコシステムから依存関係を送信することができます。 依存関係送信 API を使ってプロジェクトに送信された依存関係には、提出にどの検出機能が使われたか、いつ送信されたかが表示されます。 依存関係送信 API について詳しくは、「Dependency Submission API を使用する」をご覧ください。