Изучение зависимостей репозитория

Вы можете использовать граф зависимостей, чтобы увидеть пакеты, от которых зависит ваш проект, и репозитории, которые от него зависят. Кроме того, вы сможете узнать, какие уязвимости обнаружены в его зависимостях.

Кто может использовать эту функцию?

Администраторы репозитория, владелец организации и пользователи с **** записью или обслуживанием доступа к репозиторию

В этой статье

Просмотр графа зависимостей

График зависимостей показывает зависимости и зависимые лица вашего репозитория.
Для каждой зависимости можно просмотреть версию license information, файл манифеста, который включал его, и наличие известных уязвимостей. Для экосистем пакетов, поддерживающих транзитивные зависимости, будет отображаться состояние связи, и вы можете щелкнуть "", а затем "Показать пути", чтобы увидеть транзитивный путь, который привел в зависимость.

Вы также можете найти определенную зависимость с помощью строки поиска. Зависимости отсортированы автоматически с уязвимыми пакетами в верхней части. Для информации о выявлении зависимостей и о поддерживаемых экосистемах см. Поддерживаемые экосистемы пакетов графа зависимостей.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Insights.

    Снимок экрана: главная страница репозитория. На горизонтальной панели навигации вкладка, помеченная значком графа и "Аналитика", описывается оранжевым цветом.

  3. На левой боковой панели щелкните Граф зависимостей.

    Снимок экрана: вкладка "Граф зависимостей". Вкладка выделена оранжевым контуром.

  4. При необходимости используйте панель поиска для поиска определенной зависимости или набора зависимостей. Ключевые слова ecosystem: можно использовать для отображения только пакетов определенного типа или relationship: отображения только прямых или транзитивных зависимостей (если экосистема поддерживает транзитивную зависимость). Обычные слова в строке поиска будут соответствовать только именам пакетов.

  5. При необходимости для просмотра репозиториев и пакетов, зависящих от репозитория, в разделе "Граф зависимостей" щелкните "Зависимости".

    Снимок экрана: страница "Граф зависимостей". Вкладка "Зависимые" выделена оранжевым контуром.

    Примечание.

    GitHub В настоящее время иждивенцы определяются только для публичных репозиториев.

Представление зависимостей

Для каждой зависимости можно увидеть её экосистему, файл манифеста, в котором она была найдена, и лицензию (где обнаружена).

  • Зависимости для частных репозиториев, частных пакетов или нераспознанных файлов отображаются в виде обычного текста.

  • Если диспетчер пакетов для зависимости находится в общедоступный репозиторий, можно навести указатель мыши на имя зависимости, чтобы отобразить всплывающее окно со связанными сведениями репозитория.

  • Вы можете сортировать и фильтровать зависимости, введя фильтры в виде key:value пар в строку поиска.

    • Используйте ecosystem: <ecosystem-name> для отображения зависимостей для выбранной экосистемы.
    • Используется relationship: для фильтрации списка по состоянию связи. Возможные значения: direct, transitiveи inconclusive. Кроме того, можно щелкнуть метку связи рядом с именем зависимости, чтобы отобразить только зависимости того же состояния связи. Этот фильтр доступен только для экосистем с поддержкой транзитивных зависимостей. См. Поддерживаемые экосистемы пакетов графа зависимостей для получения дополнительной информации.

Зависимости, отправленные в проект с помощью приложения API отправки зависимостей , покажут, какой детектор использовался для их подачи и когда они были отправлены. Для получения дополнительной информации о использовании API отправки зависимостей, см. Использование API отправки зависимостей.

Если уязвимости обнаружены в репозитории, они отображаются в верхней части представления для пользователей с доступом к Dependabot alerts.

Представление "Зависимые"

Для общедоступных репозиториев представление зависимых объектов показывает, как репозиторий используется другими репозиториями. Чтобы отобразить только репозитории, содержащие библиотеку в диспетчере пакетов, щелкните NUMBER Packages непосредственно над списком зависимых репозиториев. Количество зависимых объектов являются приблизительным и не всегда может соответствовать перечисленным зависимым объектам.

Дополнительные материалы