# 探索仓库的依赖项

可以使用依赖项图查看项目所依赖存储库。 此外，你还可以看到在其依赖项中检测到的任何漏洞。

## 查看依赖关系图

依赖项图显示存储库的依赖项 和依赖项 。\
对于每个依赖项，可以看到版本、许可证信息、包含它的清单文件，以及它是否具有已知漏洞。 对于支持传递性依赖项的包生态系统，将显示依赖关系状态。你可以单击 <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="Show dependency options" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>，然后选择“Show paths”，以查看引入该依赖项的传递路径。

还可以使用搜索栏搜索特定依赖项。 依赖项会自动排序，存在漏洞的包排在最上方。 有关检测依赖项以及支持哪些生态系统的信息，请参阅 [依赖项关系图支持的包生态系统](/zh/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems)。

1. 在 GitHub 上，导航到存储库的主页面。

2. 在存储库名称下，单击“<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-graph" aria-label="graph" role="img"><path d="M1.5 1.75V13.5h13.75a.75.75 0 0 1 0 1.5H.75a.75.75 0 0 1-.75-.75V1.75a.75.75 0 0 1 1.5 0Zm14.28 2.53-5.25 5.25a.75.75 0 0 1-1.06 0L7 7.06 4.28 9.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.25-3.25a.75.75 0 0 1 1.06 0L10 7.94l4.72-4.72a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Insights”选项卡\*\*\*\*。

   ![存储库的主页的屏幕截图。 在水平导航栏中，以橙色框出了标有图形图标和“见解”的选项卡。](/assets/images/help/repository/repo-nav-insights-tab.png)

3. 在左侧边栏中，单击“依赖项关系图”。
   ![“依赖项关系图”选项卡的屏幕截图。选项卡以橙色边框突出显示。](/assets/images/help/graphs/graphs-sidebar-dependency-graph.png)

4. （可选）使用搜索栏查找特定的依赖项或一组依赖项。 可以使用关键字 `ecosystem:` 来仅显示某种类型的包，使用关键字 `relationship:` 来仅显示直接依赖项或可传递依赖项（如果生态系统支持可传递性）。 搜索栏中的纯单词仅与包名称匹配。

5. （可选）要查看依赖于你的存储库的存储库和包，请在“依赖项关系图”下单击“依赖项”\*\*\*\*。

   ![“依赖项关系图”页面的屏幕截图。 “依赖项”选项卡以橙色边框突出显示。](/assets/images/help/graphs/dependency-graph-dependents-tab.png)

   > \[!NOTE]
   > GitHub 当前仅确定公共存储库的依赖项。

### 依赖项视图

对于每个依赖项，您都可以看到其所属的生态系统、找到该依赖项的清单文件及其许可证（如果检测到）。

* 专用仓库、专用包或无法识别的文件上的依赖项以纯文本显示。
* 如果依赖项的包管理器位于公共存储库中，则可以将鼠标悬停在依赖项名称上以显示包含关联存储库信息的弹出窗口。
* 可以通过将筛选器作为 `key:value` 对输入到搜索栏中，对依赖项进行排序和筛选。

  * 用于 `ecosystem: <ecosystem-name>` 显示所选生态系统的依赖项。
  * 使用 `relationship:` 按关系状态筛选列表。 可能的值为 `direct`、`transitive` 和 `inconclusive`。 或者，可以单击依赖项名称旁边的关系标签，仅显示具有相同关系状态的依赖项。 此筛选器仅可用于支持可传递依赖项的生态系统。 有关详细信息，请参阅 [依赖项关系图支持的包生态系统](/zh/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems) 。

使用 依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。 有关使用 依赖项提交 API 的更多信息，请参阅 [使用依赖项提交 API](/zh/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api)。

如果在存储库中检测到漏洞，这些漏洞会显示在该视图顶部，供有权访问 Dependabot alerts 的用户查看。

### 依赖项视图

对于公共仓库，依赖项视图显示其他仓库如何使用该仓库。 要仅显示包含包管理器中某个库的存储库，请单击依赖存储库列表正上方的“NUMBER 个包”\*\*\*\*。 依赖项计数是近似值，不一定与列出的依赖项匹配。

## 延伸阅读

* [依赖关系图疑难排解](/zh/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)
* [依赖项关系图](/zh/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)
* [查看和更新 Dependabot 警报](/zh/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
* [存档 GitHub 个人帐户和公共存储库](/zh/get-started/privacy-on-github)