Сведения о графе зависимостей

Сведения о графе зависимостей

Граф зависимостей — это сводка файлов манифеста и блокировки, хранящихся в репозитории, и всех зависимостей, отправленных для репозитория с помощью API отправки зависимостей. Для каждого репозитория отображается:

• Зависимости, экосистемы и пакеты, от которых он зависит
• Зависимые, репозитории и пакеты, зависящие от негоостальных %} зависимостей, экосистемы и пакеты, от которой она зависит.

Для каждой зависимости можно просмотреть версию license information, файл манифеста, который включал его, и наличие известных уязвимостей. Для экосистем пакетов, поддерживающих транзитивные зависимости, будет отображаться состояние связи, и вы можете щелкнуть "", а затем "Показать пути", чтобы увидеть транзитивный путь, который привел в зависимость.

Вы также можете найти определенную зависимость с помощью строки поиска. Зависимости отсортированы автоматически с уязвимыми пакетами в верхней части.

Сведения о поддерживаемых экосистемах и файлах манифестов см. в разделе Поддерживаемые экосистемы пакетов графа зависимостей.

Когда вы создаете запрос на вытягивание, содержащий изменения зависимостей, предназначенные для ветви по умолчанию, GitHub использует граф зависимостей для добавления проверок зависимостей в запрос на вытягивание. Они указывают, содержат ли зависимости уязвимости и если да, то версию зависимости, в которой была исправлена уязвимость. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Как строится граф зависимостей

Граф зависимостей автоматически анализирует зависимости, анализируя манифесты и файлы блокировки в вашем репозитории. Вы также можете отправлять данные самостоятельно. Дополнительные сведения см. в разделе Как граф зависимостей распознаёт зависимости.

Доступность графа зависимостей

Администраторы репозитория могут включить или отключить граф зависимостей для репозиториев. Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для репозитория.

Администраторы репозитория могут включить или отключить граф зависимостей для репозиториев. См . раздел AUTOTITLE.

Зависимые и «используемые» данные

Для публичных репозиториев граф зависимостей перечисляет зависимых. Это другие публичные репозитории, которые зависят от репозитория или публикуемых пакетов. Эта информация не публикуется для частных репозиториев.

Некоторые репозитории имеют раздел «Использовано» в боковой панели вкладки Код . В этом разделе показано количество найденных публичных ссылок на пакет и показаны аватары некоторых владельцев зависимых проектов. Клик по любому элементу в этом разделе переводит вас на вкладку «Иждивенцы » графа зависимостей.

В вашем репозитории будет раздел «Использовано», если:

• Граф зависимостей включён для репозитория.
• Ваш репозиторий содержит пакет, опубликованный в поддерживаемой экосистеме пакетов. См . раздел AUTOTITLE.
• в экосистеме пакет имеет ссылку на общедоступный репозиторий, в котором хранится источник.
• Более 100 репозиториев зависят от пакета.

Раздел "Кем используется" представляет один пакет из репозитория. Если у вас есть разрешения администратора на репозиторий, содержащий несколько пакетов, можно выбрать, какой пакет представляет раздел "Кем используется". См . раздел AUTOTITLE.

Что можно сделать с графом зависимостей

Граф зависимостей можно использовать для следующих целей.

• Изучение репозиториев, от которых зависит ваш код, и репозиториев, которые зависят от вашего кода. Дополнительные сведения см. в разделе Изучение зависимостей репозитория.
• Просмотр сводки зависимостей, используемых в репозиториях организации, на одной панели мониторинга. Дополнительные сведения см. в разделе Просмотр аналитических сведений о зависимостях в организации.
• Просмотр и обновление уязвимых зависимостей для репозитория. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
• Просмотр сведений об уязвимых зависимостях в запросах на вытягивание. Дополнительные сведения см. в разделе Проверка изменений зависимостей в запросе на вытягивание.
• Экспортировать программный список материалов (SBOM) для целей аудита или соответствия требованиям. Это формальный, машиночитаемый инвентарь зависимостей проекта. См . раздел AUTOTITLE.

Дополнительные материалы

•         [Граф](https://en.wikipedia.org/wiki/Dependency_graph) зависимостей в Википедии
  

•         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)
  

•         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
  

•         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)