Sobre o gráfico de dependências
O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra as dependências, os ecossistemas e os pacotes dos quais ele depende.
Para cada dependência, você pode ver a versão, o arquivo de manifesto que a incluiu e se ela tem vulnerabilidades conhecidas. Para ecossistemas de pacotes que dão suporte a dependências transitivas, o status da relação será exibido e você poderá clicar em "", e em seguida em "Show paths" para ver o caminho transitivo que trouxe a dependência.
Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente com os pacotes vulneráveis na parte superior.
O GitHub não recupera informações de licença para dependências e não calcula informações sobre os dependentes, os repositórios e os pacotes que dependem de um repositório.
Para obter informações sobre os ecossistemas suportados e os arquivos de manifesto, consulte Ecossistemas de pacotes com suporte a gráficos de dependência.
Ao criar um pull request que contém alterações para dependências direcionadas ao branch padrão, GitHub usará o gráfico de dependências para adicionar revisões de dependências ao pull request. Eles indicam se as dependências contêm vulnerabilidades e, em caso afirmativo, a versão da dependência na qual a vulnerabilidade foi corrigida. Para saber mais, confira Sobre a análise de dependência.
Como o grafo de dependência é criado
O gráfico de dependência analisa automaticamente as dependências considerando manifestos e arquivos de bloqueio em seu repositório. Você também pode enviar dados por conta própria. Para saber mais, confira Como o grafo de dependência reconhece dependências.
Disponibilidade do gráfico de dependências
Proprietários de empresa podem configurar um grafo de dependência e Dependabot alerts para uma empresa. Para obter mais informações, confira Habilitando o gráfico de dependências para a sua empresa e Habilitando o Dependabot para sua empresa.
Para obter mais informações sobre a configuração do gráfico de dependências, consulte Habilitar o grafo de dependência.
O que você pode fazer com o grafo de dependência
Você pode usar o gráfico de dependências para:
- Explore os repositórios dos quais o seu código depende. Para saber mais, confira Explorar as dependências de um repositório.
- Ver e atualizar dependências vulneráveis no seu repositório. Para saber mais, confira Sobre alertas do Dependabot.
- Veja as informações sobre dependências vulneráveis em pull requests. Para saber mais, confira Revisão de alterações de dependências em um pull request.
- Exportar uma lista de materiais de software (SBOM) para fins de auditoria ou conformidade. Esse é um inventário formal e legível por computador das dependências de um projeto. Confira Como exportar uma lista de materiais de software para seu repositório.
Leitura adicional
-
[Grafo de dependência](https://en.wikipedia.org/wiki/Dependency_graph) na Wikipédia -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)