Noções básicas sobre a tabela
O grafo de dependência dá suporte a diferentes métodos de envio de dados para dependências diretas e indiretas (transitivas). Confira Como o grafo de dependência reconhece dependências.
Na tabela abaixo:
- As dependências transitivas estáticas e o envio automático de dependência mostram métodos compatíveis para enviar dados.
- A coluna dependências transitivas estáticas também indica se a análise estática adicionará rótulos
directetransitivepara os pacotes dependentes nesse ecossistema. - A coluna de arquivos recomendados sugere formatos que definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Esses arquivos bloqueiam as versões do pacote para as incluídas no build e permitem que o Dependabot encontre versões vulneráveis em dependências diretas e indiretas.
Ecossistemas de pacotes com suporte
| Gerenciador de pacotes | Idiomas | Dependências transitivas estáticas | Envio automático de dependência | Arquivos recomendados | Arquivos adicionais |
|---|---|---|---|---|---|
| Bazel | Starlark |
`MODULE.bazel`, `WORKSPACE` |
`MODULE.bazel.lock`, `maven_install.json`, `*.MODULE.bazel` |
| |
| Cargo | Rust | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | composer.lock | composer.json |
| NuGet | .NET idiomas (C#, F#, VB), C++ | | |
.csproj, .vbproj, .nuspec, , .vcxproj``.fsproj | packages.config |
| GitHub Actions fluxos de trabalho | YAML | | |
.yml, .yaml | |
| Módulos Go | Go | | | go.mod| |
| Gradle | Java | | | | |
| |
| Julia | Julia | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | pom.xml | |
| npm | JavaScript | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| pip | Python | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | pubspec.lock | pubspec.yaml |
| Poesia | Python | | | poetry.lock | pyproject.toml |
| RubyGems | Ruby | | | Gemfile.lock |
Gemfile, *.gemspec |
| Gerenciador de Pacotes Swift | Swift | | | Package.resolved | |
| Yarn | JavaScript | | | yarn.lock | package.json |
Observação
- Se você listar suas dependências de Python em um arquivo
setup.py, talvez não possamos analisar e listar todas as dependências em seu projeto. - Os fluxos de trabalho do GitHub Actions precisam estar localizados no diretório
.github/workflows/de um repositório para serem reconhecidos como manifestos. As ações ou os fluxos de trabalho referenciados com a sintaxejobs[*].steps[*].usesoujobs.<job_id>.usesserão analisados como dependências. Para saber mais, confira Sintaxe de fluxo de trabalho para o GitHub Actions. - Para GitHub Actions, Dependabot alerts são gerados apenas para ações que usam controle de versão semântico, não controle de versão SHA. Para obter mais informações, consulte Sobre alertas do Dependabot e Sobre as atualizações da versão do Dependabot.
Ecossistemas mantidos pela comunidade
Os ecossistemas a seguir são mantidos por seus mantenedores de comunidade de origem. GitHub integra Dependabot com esses ecossistemas, mas não os mantém diretamente.
| Ecossistema | Mantido por |
|---|---|
| Julia | Comunidade julia |
| OpenTofu | Comunidade OpenTofu |
| pub | Comunidade Dart |