# リポジトリの依存関係を調べる

依存関係グラフを使用して、プロジェクトが依存しているパッケージを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。

## 依存関係グラフの表示

依存関係グラフには、リポジトリの依存関係 および依存 が表示されます。\
依存関係ごとに、バージョン、ライセンス情報、それを含むマニフェスト ファイル、既知の脆弱性があるかどうかを確認できます。 推移的な依存関係をサポートするパッケージ エコシステムの場合、リレーションシップの状態が表示され、\[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="Show dependency options" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>] をクリックしてから \[Show paths] をクリックすると、その依存関係の基になっている推移パスを確認できます。

検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱なパッケージが先頭になるように自動的に並べ替えられます。 依存関係の検出とサポートされているエコシステムの詳細については、 [AUTOTITLE を](/ja/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems)参照してください。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある **\[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-graph" aria-label="graph" role="img"><path d="M1.5 1.75V13.5h13.75a.75.75 0 0 1 0 1.5H.75a.75.75 0 0 1-.75-.75V1.75a.75.75 0 0 1 1.5 0Zm14.28 2.53-5.25 5.25a.75.75 0 0 1-1.06 0L7 7.06 4.28 9.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.25-3.25a.75.75 0 0 1 1.06 0L10 7.94l4.72-4.72a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Insights]** をクリックします。

   ![リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーの、グラフ アイコンと \[Insights\] というラベルが付いたタブが、オレンジ色の枠線で囲まれています。](/assets/images/help/repository/repo-nav-insights-tab.png)

3. 左側のサイドバーで、 **\[Dependency graph]** (依存関係グラフ) をクリックします。
   ![\[依存関係グラフ\] タブのスクリーンショット。タブはオレンジ色の枠線で強調されています。](/assets/images/help/graphs/graphs-sidebar-dependency-graph.png)

4. 必要に応じて、検索バーを使って、特定の依存関係または一連の依存関係を検索します。 キーワード `ecosystem:` を使用して特定の種類のパッケージのみを表示したり、`relationship:` を使用して直接の依存関係や推移的な依存関係 (エコシステムが推移性をサポートしている場合) のみを表示したりすることができます。 検索バーに平易な単語を入力すると、パッケージ名のみが一致します。

5. 必要に応じて、リポジトリとリポジトリに依存するパッケージを表示するには、\[依存関係グラフ] の下にある **\[依存]** をクリックします。

   ![\[依存関係グラフ\] ページのスクリーンショット。 \[依存\] タブがオレンジ色の枠線で強調表示されています。](/assets/images/help/graphs/dependency-graph-dependents-tab.png)

   > \[!NOTE]
   > GitHub 現在、パブリック リポジトリの依存のみを決定します。

### 依存関係ビュー

依存関係ごとに、そのエコシステム、見つかったマニフェスト ファイル、そのライセンス (検出された場所) を確認できます。

* プライベート リポジトリ、プライベート パッケージ、認識できないファイルの依存関係は、プレーン テキストで表示されます。
* 依存関係のパッケージ マネージャーがパブリック リポジトリにある場合は、依存関係名をポイントして、関連付けられているリポジトリ情報を含むポップアップを表示できます。
* 検索バーにフィルターを `key:value` ペアとして入力することで、依存関係を並べ替えたりフィルター処理したりすることができます。

  * `ecosystem: <ecosystem-name>`を使用して、選択したエコシステムの依存関係を表示します。
  * `relationship:` を使用して、リレーションシップの状態で一覧をフィルター処理します。 有効な値は `direct`、`transitive`、`inconclusive` です。 または、依存関係名の横にあるリレーションシップ ラベルをクリックして、リレーションシップの状態が同じ依存関係のみを表示することもできます。 このフィルターは、推移的な依存関係をサポートするエコシステムでのみ使用できます。 詳細については、 [依存関係グラフがサポートされるパッケージ エコシステム](/ja/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems) を参照してください。

依存関係送信 APIを使用してプロジェクトに送信された依存関係は、送信に使用された検出機能と、それらがいつ送信されたかを示します。
依存関係送信 APIの使用方法の詳細については、[依存関係サブミッション API を使用する](/ja/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api) を参照してください。

リポジトリで脆弱性が検出された場合は、 Dependabot alertsにアクセスできるユーザーのビューの上部に表示されます。

### 依存ビュー

パブリックリポジトリの場合、他のリポジトリによってどう使用されているかが、依存ビューに表示されます。 パッケージ マネージャーでライブラリを含むリポジトリのみを表示するには、依存リポジトリの一覧のすぐ上にある **\[NUMBER Packages]\(数値 個のパッケージ)** をクリックします。 依存の数は概数であり、リストされている依存と一致しないことがあります。

## 詳細については、次を参照してください。

* [依存関係グラフのトラブルシューティング](/ja/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)
* [依存関係グラフ](/ja/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)
* [Dependabot アラートの表示と更新](/ja/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
* [GitHub 個人用アカウントとパブリック リポジトリのアーカイブ](/ja/get-started/privacy-on-github)