# Graphe de dépendances

Vous pouvez utiliser le graphe des dépendances pour identifier toutes les dépendances de votre projet. Le graphe des dépendances prend en charge une gamme d’écosystèmes de packages populaires.

<!--Marketing-LINK: From /features/security and /features/security/software-supply-chain pages "How GitHub's dependency graph is generated".-->

## À propos du graphe de dépendances

Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche les dépendances, c’est-à-dire les écosystèmes et les packages dont il dépend.

Pour chaque dépendance, vous pouvez voir la version,  le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur « <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="Show dependency options" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg> », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.

Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste.

GitHub ne récupère pas les informations de licence pour les dépendances, et ne calcule pas les informations sur les dépendants, les référentiels et les packages qui dépendent d’un référentiel.

Pour plus d’informations sur les écosystèmes et les fichiers manifeste pris en charge, consultez [Écosystèmes de packages pris en charge par le graphe des dépendances](/fr/enterprise-server@3.18/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems).

Lorsque vous créez une demande de tirage contenant des modifications apportées aux dépendances qui ciblent la branche par défaut, GitHub utilise le graphique de dépendances pour ajouter des révisions de dépendance à la demande de tirage. Celles-ci indiquent si les dépendances contiennent des vulnérabilités et, si c’est le cas, la version de la dépendance dans laquelle la vulnérabilité a été corrigée. Pour plus d’informations, consultez « [Vérification des dépendances](/fr/enterprise-server@3.18/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review) ».

## Comment le graphique de dépendances est généré

Le graphique des dépendances analyse automatiquement les dépendances en analysant les manifestes et les fichiers de verrouillage dans votre référentiel. Vous pouvez également soumettre des données vous-même. Pour plus d’informations, consultez « [Comment le graphique de dépendances reconnaît les dépendances](/fr/enterprise-server@3.18/code-security/concepts/supply-chain-security/dependency-graph-data) ».

## Disponibilité du graphe de dépendances

Les propriétaires d’entreprise peuvent configurer le graphe des dépendances et Dependabot alerts pour une entreprise. Pour plus d’informations, consultez [Activation du graphe de dépendances pour votre entreprise](/fr/enterprise-server@3.18/admin/code-security/managing-supply-chain-security-for-your-enterprise/enabling-the-dependency-graph-for-your-enterprise) et [Activation de Dependabot pour votre entreprise](/fr/enterprise-server@3.18/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise).

Pour plus d’informations sur la configuration du graphique de dépendances, consultez [Activation du graphe de dépendances](/fr/enterprise-server@3.18/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph).

## Ce que vous pouvez faire avec le graphique de dépendances

Vous pouvez utiliser le graphe de dépendances pour :

* Explorez les dépôts dont. Pour plus d’informations, consultez « [Exploration des dépendances d’un dépôt](/fr/enterprise-server@3.18/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository) ».
* Affichez et mettez à jour les dépendances vulnérables pour votre dépôt. Pour plus d’informations, consultez « [Dependabot alerts](/fr/enterprise-server@3.18/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) ».
* Consultez des informations sur les dépendances vulnérables dans les demandes de tirage. Pour plus d’informations, consultez « [Révision des changements de dépendances dans une pull request](/fr/enterprise-server@3.18/pull-requests/collaborating-with-pull-requests/reviewing-changes-in-pull-requests/reviewing-dependency-changes-in-a-pull-request) ».
* Exportez une facture logicielle de matériaux (SBOM) à des fins d’audit ou de conformité. Il s’agit d’un inventaire formel lisible par l’ordinateur des dépendances d’un projet. Consultez « [Exportation d’une nomenclature logicielle pour votre dépôt](/fr/enterprise-server@3.18/code-security/how-tos/secure-your-supply-chain/establish-provenance-and-integrity/exporting-a-software-bill-of-materials-for-your-repository) ».

## Lectures complémentaires

* [Graphe des dépendances](https://en.wikipedia.org/wiki/Dependency_graph) sur Wikipédia
* [Exploration des dépendances d’un dépôt](/fr/enterprise-server@3.18/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)
* [Affichage et mise à jour des alertes Dependabot](/fr/enterprise-server@3.18/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
* [Détection des dépendances vulnérables](/fr/enterprise-server@3.18/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)