Изучение зависимостей репозитория

Граф зависимостей позволяет выяснить, от каких пакетов зависит ваш проект и какие репозитории зависят от этого проекта. Кроме того, вы сможете узнать, какие уязвимости обнаружены в его зависимостях.

Кто может использовать эту функцию?

Администраторы репозитория, владелец организации и пользователи с **** записью или обслуживанием доступа к репозиторию

В этой статье

Просмотр графа зависимостей

Граф зависимостей показывает зависимости и зависимые объекты вашего репозитория. Для каждой зависимости можно просмотреть версию license information, файл манифеста, который включал его, и наличие известных уязвимостей. Для экосистем пакетов, поддерживающих транзитивные зависимости, будет отображаться состояние связи, и вы можете щелкнуть "", а затем "Показать пути", чтобы увидеть транзитивный путь, который привел в зависимость.

Вы также можете найти определенную зависимость с помощью строки поиска. Зависимости отсортированы автоматически с уязвимыми пакетами в верхней части. Сведения об обнаружении зависимостей и поддерживаемых экосистемах см. в разделе Поддерживаемые экосистемы пакетов графа зависимостей.

  1. На GitHubперейдите на главную страницу репозитория.

  2. На левой боковой панели щелкните Граф зависимостей.

    Снимок экрана: вкладка "Граф зависимостей". Вкладка выделена оранжевым контуром.

  3. При необходимости используйте панель поиска для поиска определенной зависимости или набора зависимостей. Ключевые слова ecosystem: можно использовать для отображения только пакетов определенного типа или relationship: отображения только прямых или транзитивных зависимостей (если экосистема поддерживает транзитивную зависимость). Обычные слова в строке поиска будут соответствовать только именам пакетов.

  4. При необходимости для просмотра репозиториев и пакетов, зависящих от репозитория, в разделе "Граф зависимостей" щелкните "Зависимости".

    Снимок экрана: страница "Граф зависимостей". Вкладка "Зависимые" выделена оранжевым контуром.

    Примечание.

    GitHub в настоящее время определяет только зависимые от общедоступных репозиториев.

Представление зависимостей

Для каждой зависимости можно увидеть свою экосистему, файл манифеста, в котором он был найден, и его лицензию (где обнаружено).

  • Зависимости для частных репозиториев, частных пакетов или нераспознанных файлов отображаются в виде обычного текста.

  • Если диспетчер пакетов для зависимости находится в общедоступный репозиторий, можно навести указатель мыши на имя зависимости, чтобы отобразить всплывающее окно со связанными сведениями репозитория.

  • Вы можете сортировать и фильтровать зависимости, введя фильтры в виде key:value пар в строку поиска.

    • Используется ecosystem: <ecosystem-name> для отображения зависимостей для выбранной экосистемы.
    • Используется relationship: для фильтрации списка по состоянию связи. Возможные значения: direct, transitiveи inconclusive. Кроме того, можно щелкнуть метку связи рядом с именем зависимости, чтобы отобразить только зависимости того же состояния связи. Этот фильтр доступен только для экосистем с поддержкой транзитивных зависимостей. Дополнительные сведения см. в разделе Поддерживаемые экосистемы пакетов графа зависимостей .

Зависимости, отправленные в проект с помощью API отправки зависимостей показывают, какой детектор использовался для их отправки и когда они были отправлены. Дополнительные сведения об использовании API отправки зависимостейсм. в разделе Использование API отправки зависимостей.

Если в репозитории обнаружены уязвимости, они отображаются в верхней части представления для пользователей с доступом к Dependabot alerts.

Представление "Зависимые"

Для общедоступных репозиториев представление зависимых объектов показывает, как репозиторий используется другими репозиториями. Чтобы отобразить только репозитории, содержащие библиотеку в диспетчере пакетов, щелкните NUMBER Packages непосредственно над списком зависимых репозиториев. Количество зависимых объектов являются приблизительным и не всегда может соответствовать перечисленным зависимым объектам.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/organizations/collaborating-with-groups-in-organizations/viewing-insights-for-dependencies-in-your-organization)

  •         [АВТОЗАГОЛОВОК](/get-started/privacy-on-github)