Понимание таблицы
Граф зависимостей поддерживает различные методы подачи данных для прямых и косвенных (транзитивных) зависимостей. См . раздел AUTOTITLE.
В таблице ниже:
-
**Статические транзитивные зависимости** и **автоматическая подача зависимостей** показывают поддерживаемые методы подачи данных. -
**Столбец «Статические транзитивные зависимости**» также показывает, будет ли статический анализ добавлять `direct` и `transitive` маркировать зависимые пакеты в этой экосистеме. - Столбец «Рекомендуемые файлы » предлагает форматы, которые явно определяют, какие версии используются для всех прямых и косвенных зависимостей. Эти файлы блокируют версии пакетов с теми, что включены в сборку, и позволяют Dependabot находить уязвимые версии как в прямых, так и в косвенных зависимостях.
Поддерживаемые экосистемы пакетов
| Диспетчер пакетов | Языки | Статические транзитивные зависимости | Автоматическая отправка зависимостей | Рекомендуемые файлы | Дополнительные файлы |
|---|---|---|---|---|---|
| Груз | Rust | Cargo.lock | Cargo.toml | ||
| Composer | PHP | composer.lock | composer.json | ||
| NuGet | .NET (C#, F#, VB), C++ |
`.csproj`, `.vbproj`, , `.nuspec`, `.vcxproj``.fsproj` | `packages.config` |
| Рабочие процессы GitHub Actions | YAML | | |
.yml, .yaml | |
| Модули Go | Вперед | | | go.mod| |
| Gradle (Грэйдл) | Java | | | | |
| |
| Maven | Java, Scala | | | pom.xml | |
| npm | JavaScript | | | package-lock.json | package.json|
| |
| пит | Python | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | pubspec.lock | pubspec.yaml |
| Поэзия | Python | | | poetry.lock | pyproject.toml |
| RubyGems | Руби | | | Gemfile.lock |
Gemfile, *.gemspec |
| Swift Package Manager | Swift | | | Package.resolved | |
| Yarn | JavaScript | | | yarn.lock | package.json |
Примечание.
- Если вы перечисляете свои Python зависимости в файле
setup.py, мы можем не иметь возможности разобрать и перечислить все зависимости в вашем проекте. - Рабочие процессы GitHub Actions должны находиться в
.github/workflows/каталоге репозитория для распознавания как манифестов. Любые действия или рабочие процессы, для ссылок на которые используется синтаксисjobs[*].steps[*].usesилиjobs.<job_id>.uses, будут анализироваться как зависимости. Дополнительные сведения см. в разделе Синтаксис рабочего процесса для GitHub Actions. - Для GitHub Actions, Dependabot alerts генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates).