Сведения о графе зависимостей

Сведения о графе зависимостей

Граф зависимостей — это сводка файлов манифеста и блокировки, хранящихся в репозитории, и всех зависимостей, отправленных для репозитория с помощью API отправки зависимостей. Для каждого репозитория отображается

Для каждой зависимости можно просмотреть версию файл манифеста, который включал его, и наличие известных уязвимостей. Для экосистем пакетов, поддерживающих транзитивные зависимости, будет отображаться состояние связи, и вы можете щелкнуть "", а затем "Показать пути", чтобы увидеть транзитивный путь, который привел в зависимость.

Вы также можете найти определенную зависимость с помощью строки поиска. Зависимости отсортированы автоматически с уязвимыми пакетами в верхней части.

GitHub не получает сведения о лицензии для зависимостей и не вычисляет сведения о зависимостях, репозиториях и пакетах, зависящих от репозитория.

Сведения о поддерживаемых экосистемах и файлах манифестов см. в разделе Поддерживаемые экосистемы пакетов графа зависимостей.

Когда вы создаете запрос на вытягивание, содержащий изменения зависимостей, предназначенные для ветви по умолчанию, GitHub использует граф зависимостей для добавления проверок зависимостей в запрос на вытягивание. Они указывают, содержат ли зависимости уязвимости и если да, то версию зависимости, в которой была исправлена уязвимость. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Как строится граф зависимостей

Граф зависимостей автоматически анализирует зависимости, анализируя манифесты и файлы блокировки в вашем репозитории. Вы также можете отправлять данные самостоятельно. Дополнительные сведения см. в разделе Как граф зависимостей распознаёт зависимости.

Доступность графа зависимостей

Владельцы предприятия могут настроить граф зависимостей и Dependabot alerts для предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Включение графа зависимостей для предприятия](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise).

Дополнительные сведения о настройке граф зависимостей см. в разделе Включение графа зависимостей.

Что можно сделать с графом зависимостей

Граф зависимостей можно использовать для следующих целей.

• Изучение репозиториев, от которых зависит ваш код. Дополнительные сведения см. в разделе Изучение зависимостей репозитория.
• Просмотр и обновление уязвимых зависимостей для репозитория. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
• Просмотр сведений об уязвимых зависимостях в запросах на вытягивание. Дополнительные сведения см. в разделе Проверка изменений зависимостей в запросе на вытягивание.
• Экспортировать программный список материалов (SBOM) для целей аудита или соответствия требованиям. Это формальный, машиночитаемый инвентарь зависимостей проекта. См . раздел AUTOTITLE.

Дополнительные материалы

•         [Граф](https://en.wikipedia.org/wiki/Dependency_graph) зависимостей в Википедии
  

•         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)
  

•         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
  

•         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)