Skip to main content

使用依赖项提交 API

可以使用依赖项提交 API 来提交项目的依赖项,例如生成或编译项目时解析的依赖项。

注意:依赖项提交 API 目前以公共 Beta 版本提供,可能会发生更改。

关于依赖项提交 API

使用依赖项提交 API,可以提交项目的依赖项。 这使你可以将依赖项(如编译或生成软件时解析的依赖项)添加到 GitHub 的依赖项关系图功能,从而更全面地了解项目的所有依赖项。

依赖项关系图显示你使用 API 提交的任何依赖项,以及从存储库中的清单或锁定文件(例如 package-lock.json JavaScript 项目中的文件)标识的任何依赖项。 若要详细了解如何查看依赖项关系图,请参阅“探索存储库的依赖项”。

提交的依赖项将收到 Dependabot alerts 和 Dependabot security updates 以处理任何已知的漏洞。 你只会收到来自 GitHub Advisory Database 支持的生态系统之一的依赖项的 Dependabot alerts。 提交的依赖项将不会显示在依赖项评审或组织的依赖项见解中。

依赖项以快照的形式提交到依赖项提交 API。 快照是一组与提交 SHA 和其他元数据关联的依赖项,反映了提交时存储库的当前状态。 有关依赖项提交 API 的详细信息,请参阅依赖项提交 REST API 文档

在生成时提交依赖项

可以在 GitHub Actions 工作流中使用依赖项提交 API,从而在生成项目时提交项目的依赖项。

使用预创建的操作

使用依赖项提交 API 最简单的方法是向存储库添加预创建的操作,该操作将收集依赖项列表并将它转换为所需的快照格式,然后将此列表提交到 API。 GitHub Marketplace 上提供了针对各种生态系统完成这些步骤的操作,在 beta 版本以及更高版本中将创建更多的操作。 可以在下表中找到当前可用操作的链接:

生态系统操作
GoGo 依赖项提交

例如,以下 Go 依赖项提交工作流将计算 Go 生成目标(带有 main 函数的 Go 文件)的依赖项,并将列表提交到依赖项提交 API。


name: Go Dependency Submission
on:
  push:
    branches:
      - main
      
# The API requires write permission on the repository to submit dependencies
permissions:
  contents: write

# Envionment variables to configure Go and Go modules. Customize as necessary
env:
  GOPROXY: '' # A Go Proxy server to be used
  GOPRIVATE: '' # A list of modules are considered private and not requested from GOPROXY
jobs:
  go-action-detection:
    runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
        
      - uses: actions/setup-go@v3
        with:
          go-version: ">=1.18.0"
          
      - name: Run snapshot action
        uses: @actions/go-dependency-submission@v1
        with:
            # Required: Define the repo path to the go.mod file used by the
            # build target
            go-mod-path: go-example/go.mod
            #
            # Optional. Define the repo path of a build target,
            # a file with a `main()` function.
            # If undefined, this action will collect all dependencies
            # used by all build targets for the module. This may
            # include Go dependencies used by tests and tooling.
            go-build-target: go-example/cmd/octocat.go

创建自己的操作

你还可以编写你自己操作,以便在生成时提交项目的依赖项。 你的工作流应:

  1. 生成项目的依赖项列表。
  2. 将依赖项列表转换为依赖项提交 API 接受的快照格式。 有关格式的详细信息,请参阅依赖项提交 REST API 文档中“创建存储库快照”API 操作的正文参数。
  3. 将格式化的依赖项列表提交到依赖项提交 API。

GitHub 将维护依赖项提交工具包,这是一个 TypeScript 库,可帮助你生成自己的 GitHub 操作,用于将依赖项提交到依赖项提交 API。 有关编写操作的详细信息,请参阅“创建操作”。