依存関係グラフについて

依存関係グラフについて

依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイル、および 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:の依存関係、すなわちリポジトリが依存するエコシステムとパッケージ。

依存関係ごとに、バージョン、それを含むマニフェスト ファイル、既知の脆弱性があるかどうかを確認できます。 推移的な依存関係をサポートするパッケージ エコシステムの場合、リレーションシップの状態が表示され、[] をクリックしてから [Show paths] をクリックすると、その依存関係の基になっている推移パスを確認できます。

検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱なパッケージが先頭になるように自動的に並べ替えられます。

GitHub では、依存関係のライセンス情報は取得されず、あるリポジトリに依存する依存物、リポジトリ、パッケージに関する情報は計算されません。

サポートされているエコシステムとマニフェスト ファイルの詳細については、「AUTOTITLE」を参照してください。

デフォルトブランチをターゲットとする、依存関係の変更を含むPull Requestを作成すると、GitHubは依存関係グラフを使ってそのPull Requestに依存関係のレビューを追加します。 それらは、依存関係が脆弱性を含んでいるか、もしそうならその脆弱性が修復されているバージョンを示しています。 詳しくは、「依存関係の確認について」をご覧ください。

依存関係グラフの構築方法

依存関係グラフは、リポジトリ内のマニフェストとロック ファイルを分析することで、依存関係を自動的に解析します。 自分でデータを送信することもできます。 詳しくは、「依存関係グラフが依存関係を認識する方法」をご覧ください。

依存関係グラフの利用

Enterprise 所有者は、Enterprise の依存関係グラフと Dependabot alerts を構成できます。 詳細については、「企業の依存関係グラフの有効化」と「エンタープライズ向けの Dependabot の有効化」を参照してください。

依存関係グラフの構成の詳細については、「AUTOTITLE」を参照してください。

依存関係グラフでできること

依存関係グラフを使用する目的は、次のとおりです。

• コードが依存しているリポジトリを調べること。 詳しくは、「リポジトリの依存関係を調べる」をご覧ください。
• リポジトリの脆弱な依存関係を表示・更新すること。 詳しくは、「Dependabot アラートについて」をご覧ください。
• Pull Request中の脆弱性がある依存関係に関する情報を見ること。 詳しくは、「プルリクエスト内の依存関係の変更をレビューする」をご覧ください。
• 監査またはコンプライアンスの目的でソフトウェア部品表 (SBOM) をエクスポートします。 これは、プロジェクトの依存関係をコンピューターが読み取り可能な正式なインベントリです。 「リポジトリのソフトウェア部品表のエクスポート」を参照してください。

詳細については、次を参照してください。

•           Wikipedia の[依存関係グラフ](https://en.wikipedia.org/wiki/Dependency_graph)
  

•         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)
  

•         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
  

•         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)