Untersuchen der Abhängigkeiten eines Repositorys

Du kannst das Abhängigkeitsdiagramm verwenden, um die Pakete, von denen dein Projekt abhängt. Darüber hinaus kannst du alle ermittelten Sicherheitsrisiken in ihren Abhängigkeiten anzeigen.

Wer kann dieses Feature verwenden?

Repositoryadministratoren, Organisationsbesitzer und Personen mit Schreib- oder Pflege-Zugriff auf ein Repository

In diesem Artikel

Anzeigen des Abhängigkeitsdiagramms

Das Abhängigkeitsdiagramm zeigt die Abhängigkeiten deines Repositorys. Für jede Abhängigkeit kannst du die Version, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt. Die Schaltfläche ... zeigt den transitiven Pfad an, über den die Abhängigkeit besteht. Weitere Informationen zur Unterstützung von transitiven Abhängigkeiten findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.

Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen. Informationen zur Erkennung von Abhängigkeiten und zu den unterstützten Ökosystemen findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Insights“ beschriftet ist, orange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

    Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.

  4. Verwende optional die Suchleiste, um nach einer bestimmten Abhängigkeit oder nach mehreren Abhängigkeiten zu suchen. Du kannst die Schlüsselwörter ecosystem: verwenden, um nur Pakete eines bestimmten Typs anzuzeigen, oder relationship:, um nur direkte oder transitive Abhängigkeiten anzuzeigen (wenn das Ökosystem Transitivität unterstützt). Einfache Wörter in der Suchleiste werden nur mit Paketnamen abgeglichen.

Enterprise-Besitzer*innen können das Abhängigkeitsdiagramm auf Unternehmensebene konfigurieren. Weitere Informationen finden Sie unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen.

Abhängigkeitsansicht

Alle direkten und indirekten Abhängigkeiten, die im Manifest oder in Sperrdateien des Repositorys angegeben sind, werden aufgeführt.

Abhängigkeiten, die mithilfe der Abhängigkeitsübermittlungs-API an ein Projekt übermittelt wurden, zeigen an, welcher Detektor für ihre Übermittlung verwendet wurde und wann sie übermittelt wurden. Weitere Informationen zur Verwendung der Abhängigkeitsübermittlungs-API findest du unter Verwenden der Abhängigkeitsübermittlungs-API.

Wenn Sicherheitsrisiken im Repository erkannt wurden, werden diese oben in der Ansicht für Benutzer*innen mit Zugriff auf Dependabot alerts angezeigt.

Hinweis

GitHub Enterprise Server füllt die Ansicht Dependents nicht auf.

Weiterführende Themen