Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
All products
Codesicherheit

Untersuchen der Abhängigkeiten eines Repositorys

In this article

Du kannst das Abhängigkeitsdiagramm verwenden, um die Pakete, von denen dein Projekt abhängt, und die Repositorys, die davon abhängig sind, anzuzeigen. Darüber hinaus kannst du alle ermittelten Sicherheitsrisiken in ihren Abhängigkeiten anzeigen.

Anzeigen des Abhängigkeitsdiagramms

Das Abhängigkeitsdiagramm zeigt die Abhängigkeiten und abhängigen Elemente deines Repositorys. Informationen zur Erkennung von Abhängigkeiten und zu den unterstützten Ökosystemen findest du unter About the dependency graph.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Klicke unter deinem Repositorynamen auf Erkenntnisse. Registerkarte „Erkenntnisse“ auf der Navigationsleiste des Hauptrepositorys 3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm. Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.
  2. Klicke optional unter „Abhängigkeitsdiagramm“ auf Abhängige Elemente. Screenshot: Registerkarte „Abhängige Elemente“ auf der Seite „Abhängigkeitsdiagramm“

Abhängigkeitsansicht

Abhängigkeiten werden nach Ökosystem gruppiert. Du kannst eine Abhängigkeit erweitern, um ihre Abhängigkeiten anzuzeigen. Abhängigkeiten von privaten Repositorys, privaten Paketen oder nicht erkannten Dateien werden im Nur-Text-Format angezeigt. Wenn sich der Paket-Manager der Abhängigkeit in einem öffentlichen Repository befindet, zeigt GitHub einen Link zu diesem Repository an.

Abhängigkeiten, die mit der Abhängigkeitsübermittlungs-API (Beta) an ein Projekt übermittelt wurden, werden zwar nach Ökosystemen gruppiert, aber getrennt von Abhängigkeiten angezeigt, die über Manifest- oder Sperrdateien in dem Repository identifiziert wurden. Diese übermittelten Abhängigkeiten werden im Abhängigkeitsdiagramm als „Momentaufnahmeabhängigkeiten“ angezeigt, da sie als Momentaufnahme oder Gruppe von Abhängigkeiten übermittelt wurden. Weitere Informationen zur Verwendung der Abhängigkeitsübermittlungs-API findest du unter Verwenden der Abhängigkeitsübermittlungs-API.

Wenn Sicherheitsrisiken im Repository erkannt wurden, werden diese oben in der Ansicht für Benutzer*innen mit Zugriff auf Dependabot alerts angezeigt.

Ansicht der abhängigen Elemente

Bei öffentlichen Repositorys zeigt die Ansicht der abhängigen Elemente, wie das Repository von anderen Repositorys verwendet wird. Wenn du nur die Repositorys anzeigen möchtest, die eine Bibliothek in einem Paket-Manager enthalten, klicke direkt oberhalb der Liste der abhängigen Repositorys auf ANZAHL Pakete. Bei der Anzahl der abhängigen Elemente handelt es sich um Schätzwerte, die möglicherweise nicht immer mit den aufgelisteten Abhängigen übereinstimmen.

Aktivieren und Deaktivieren des Abhängigkeitsdiagramms für ein privates Repository

Repositoryadministrator*innen können das Abhängigkeitsdiagramm für private Repositorys aktivieren oder deaktivieren.

Zudem kannst du das Abhängigkeitsdiagramm für alle Repositorys aktivieren oder deaktivieren, die ihrem Benutzerkonto oder deiner Organisation gehören. Weitere Informationen findest du unter Konfigurieren des Abhängigkeitsdiagramms.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen. Schaltfläche „Repositoryeinstellungen“

  2. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  3. Lies den Hinweis zum Erteilen des schreibgeschützten Zugriffs auf die Repositorydaten an GitHub , um das Abhängigkeitsdiagramm zu aktivieren, und klicke neben „Abhängigkeitsdiagramm“ auf Aktivieren.

    Screenshot der Aktivierung des Abhängigkeitsdiagramms für ein Repository. Die Schaltfläche „Aktivieren“ ist dunkelorange umrandet.

    Du kannst das Abhängigkeitsdiagramm jederzeit deaktivieren, indem du die Option Deaktivieren neben „Abhängigkeitsdiagramm“ auf der Einstellungsseite für „Codesicherheit und -analyse“ auswählst.

Ändern des Pakets „Verwendet von“

Möglicherweise ist dir aufgefallen, dass die Randleiste der Registerkarte Code in einigen Repositorys den Abschnitt „Verwendet von“ enthält. dein Repository weist den Abschnitt „Verwendet von“ unter folgenden Bedingungen auf:

  • Das Abhängigkeitsdiagramm ist für das Repository aktiviert (weitere Details im obigen Abschnitt).
  • Dein Repository enthält ein Paket, das in einem unterstützten Paketökosystem veröffentlicht wurde.
  • Innerhalb des Ökosystems verfügt dein Paket über einen Link zu einem öffentlichen Repository, in dem die Quelle gespeichert ist.

Der Abschnitt „Verwendet von“ zeigt die Anzahl der gefundenen öffentlichen Verweise auf das Paket sowie die Avatare einiger Besitzer*innen der abhängigen Projekte.

Seitenleistenabschnitt „Verwendet von“

Wenn du in diesem Abschnitt auf ein Element klickst, gelangst du zur Registerkarte Abhängige Elemente des Abhängigkeitsdiagramms.

Der Abschnitt „Verwendet von“ stellt ein einzelnes Paket aus dem Repository dar. Wenn du über Administratorberechtigungen für ein Repository verfügst, das mehrere Pakete enthält, kannst du auswählen, welches Paket im Abschnitt „Verwendet von“ angezeigt werden soll.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen. Schaltfläche „Repositoryeinstellungen“

  2. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  3. Klicke unter „Codesicherheit und -analyse“ im Abschnitt „Zähler für ‚Verwendet von‘“ auf das Dropdownmenü, und wähle ein Paket aus. Auswählen eines Pakets aus „Verwendet von“

Fehler beim Abhängigkeitsdiagramm beheben

Wenn dein Abhängigkeitsdiagramm leer ist, liegt möglicherweise ein Problem mit der Datei vor, die deine Abhängigkeiten enthält. Überprüfe deine Datei, um sicherzustellen, dass sie für diesen Dateityp korrekt formatiert ist.

Wenn die Datei ordnungsgemäß formatiert ist, überprüfe ihre Größe. Das Abhängigkeitsdiagramm ignoriert einzelne Manifest- und Sperrdateien, die größer als 1,5 MB sind, es sei denn, du bist GitHub Enterprise-Benutzer*in. Es verarbeitet standardmäßig bis zu 20 Manifest- oder Sperrdateien pro Repository, sodass du Abhängigkeiten in kleinere Dateien in Unterverzeichnissen des Repositorys aufteilen kannst.

Wenn eine Manifest- oder Sperrdatei nicht verarbeitet wird, werden die Abhängigkeiten aus dem Abhängigkeitsdiagramm ausgelassen und können nicht auf unsichere Abhängigkeiten überprüft werden.

Weitere Informationsquellen