Включение графа зависимостей

Вы можете разрешить пользователям определять зависимости проектов, включив граф зависимостей.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Граф зависимостей — это сводка файлов манифеста и блокировки, хранящихся в репозитории, и всех зависимостей, отправленных для репозитория с помощью API отправки зависимостей. Дополнительные сведения см. в разделе Сведения о графе зависимостей.

Когда граф зависимостей впервые включен, все файлы манифеста и блокировки для поддерживаемых экосистем немедленно анализируются. Обычно граф заполняется в течение нескольких минут, но при наличии репозиториев с большим количеством зависимостей это может занять больше времени. После включения граф автоматически обновляется при каждой отправке в репозиторий и каждой отправке в другие репозитории в графе.

Включение графа зависимостей для репозитория

Включение графа зависимостей даёт GitHub доступ только для чтения к манифесте зависимостей и файлам блокировки репозитория.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. Прочитайте сообщение о предоставлении доступа только для чтения к данным репозитория GitHub только для чтения, чтобы включить граф зависимостей, а затем рядом с пунктом "Граф зависимостей" нажмите кнопку "Включить".

    Вы можете отключить граф зависимостей в любое время, нажав кнопку "Отключить рядом с пунктом "Граф зависимостей" на странице параметров "Advanced Security".

Включение графа зависимостей для нескольких репозиториев

Вы можете включить или отключить граф зависимостей для всех репозиториев, принадлежащих вашей учетной записи, независимо от их видимости. См . раздел AUTOTITLE.

Вы также можете включить граф зависимостей для нескольких репозиториев в организации одновременно. Дополнительные сведения см. в разделе Настройка функций безопасности в вашей организации.

Дальнейшие шаги

Вы можете использовать API отправки зависимостей для отправки зависимостей из выбранного менеджера пакетов или экосистемы, даже если экосистема не поддерживается графом зависимостей для анализа манифеста или блокировки файлов. Зависимости, отправленные в проект с помощью API отправки зависимостей показывают, какой детектор использовался для их отправки и когда они были отправлены. Дополнительные сведения о API отправки зависимостейсм. в разделе Использование API отправки зависимостей.

Дополнительные сведения о просмотре граф зависимостей см. в разделе Изучение зависимостей репозитория.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository)

  •         [AUTOTITLE](/organizations/collaborating-with-groups-in-organizations/viewing-insights-for-dependencies-in-your-organization)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)