Informationen zum Abhängigkeitsdiagramm
Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und Sperrdateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API (Beta) für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt:
- Abhängigkeiten (die Ökosysteme und Pakete, von denen es abhängig ist)
- Abhängige Elemente (die Repositorys und Pakete, die von ihm abhängig sind)
Für jede Abhängigkeit werden die Lizenzinformationen und Sicherheitsrisikoschweregrade angezeigt. Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch nach dem Sicherheitsrisikoschweregrad sortiert.
Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.
Grundlegendes zum Konfigurieren des Abhängigkeitsdiagramms
Zum Generieren eines Abhängigkeitsdiagramms benötigt GitHub den schreibgeschützten Zugriff auf das Abhängigkeitsmanifest und Sperrdateien für ein Repository. Das Abhängigkeitsdiagramm wird automatisch für alle öffentlichen Repositorys erstellt, und du kannst ihn auch für private Repositorys aktivieren. Weitere Informationen zur Anzeige des Abhängigkeitsdiagramms findest du unter Untersuchen der Abhängigkeiten eines Repositorys.
Darüber hinaus können Sie die Abhängigkeitsübermittlungs-API (Beta) verwenden, um Abhängigkeiten vom Paket-Manager oder Ökosystem Ihrer Wahl zu übermitteln, auch wenn das Ökosystem vom Abhängigkeitsdiagramm für die Manifest- oder Sperrdateianalyse nicht unterstützt wird. Abhängigkeiten, die mithilfe der Abhängigkeitsübermittlungs-API (Beta) an ein Projekt übermittelt wurden, zeigen an, welcher Detektor für die Übermittlung verwendet wurde und wann sie übermittelt wurden. Weitere Informationen zur Abhängigkeitsübermittlungs-API finden Sie unter „Verwenden der Abhängigkeitsübermittlungs-API.“
Aktivieren und Deaktivieren des Abhängigkeitsdiagramms für ein privates Repository
Repositoryadministrator*innen können das Abhängigkeitsdiagramm für private Repositorys aktivieren oder deaktivieren.
Du kannst das Abhängigkeitsdiagramm für alle Repositorys aktivieren oder deaktivieren, die deinem Benutzerkonto gehören. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto.
Du kannst das Abhängigkeitsdiagramm auch für mehrere Repositorys in einer Organisation gleichzeitig aktivieren. Weitere Informationen findest du unter Schnellstart für die Sicherung Ihrer Organisation.
-
Navigiere auf GitHub.com zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.
-
Lies den Hinweis zum Erteilen des schreibgeschützten Zugriffs auf die Repositorydaten an GitHub , um das Abhängigkeitsdiagramm zu aktivieren, und klicke neben „Abhängigkeitsdiagramm“ auf Aktivieren.
Sie können das Abhängigkeitsdiagramm jederzeit deaktivieren, indem Sie auf der Einstellungsseite für „Codesicherheit und -analyse“ neben „Abhängigkeitsdiagramm“ auf Deaktivieren klicken.
Wenn das Abhängigkeitsdiagramm zum ersten Mal aktiviert wird, werden alle Manifest- und Sperrdateien für unterstützte Ökosysteme sofort analysiert. Das Diagramm wird in der Regel innerhalb weniger Minuten aufgefüllt. Dies kann bei Repositorys mit vielen Abhängigkeiten jedoch länger dauern. Nach der Aktivierung wird das Diagramm automatisch mit jedem Push an das Repository und jedem Push an andere Repositorys im Diagramm aktualisiert.