Untersuchen der Abhängigkeiten eines Repositorys

Du kannst das Abhängigkeitsdiagramm verwenden, um die Pakete, von denen dein Projekt abhängt, und die Repositorys, die davon abhängig sind, anzuzeigen. Darüber hinaus kannst du alle ermittelten Sicherheitsrisiken in ihren Abhängigkeiten anzeigen.

Wer kann dieses Feature verwenden?

Repositoryadministratoren, Organisationsbesitzer und Personen mit Schreib- oder Pflege-Zugriff auf ein Repository

In diesem Artikel

Anzeigen des Abhängigkeitsdiagramms

Das Abhängigkeitsdiagramm zeigt die Abhängigkeiten und abhängigen Elemente deines Repositorys. Für jede Abhängigkeit kannst du die Version, die Lizenzinformationen, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt. Die Schaltfläche ... zeigt den transitiven Pfad an, über den die Abhängigkeit besteht. Weitere Informationen zur Unterstützung von transitiven Abhängigkeiten findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.

Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen. Informationen zur Erkennung von Abhängigkeiten und zu den unterstützten Ökosystemen findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Insights“ beschriftet ist, orange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

    Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.

  4. Verwende optional die Suchleiste, um nach einer bestimmten Abhängigkeit oder nach mehreren Abhängigkeiten zu suchen. Du kannst die Schlüsselwörter ecosystem: verwenden, um nur Pakete eines bestimmten Typs anzuzeigen, oder relationship:, um nur direkte oder transitive Abhängigkeiten anzuzeigen (wenn das Ökosystem Transitivität unterstützt). Einfache Wörter in der Suchleiste werden nur mit Paketnamen abgeglichen.

  5. Um die Repositorys und Pakete anzuzeigen, die von deinem Repository abhängen, klicke optional unter „Abhängigkeitsdiagramm“ auf Abhängige Elemente.

    Screenshot: Seite „Abhängigkeitsdiagramm“. Die Registerkarte „Abhängige Elemente“ ist orange umrandet.

    Note

    GitHub bestimmt abhängige Elemente derzeit nur für öffentliche Repositorys.

Abhängigkeitsansicht

Für jede Abhängigkeit werden das Ökosystem, die Manifestdatei, in der sie gefunden wurde, und die Lizenz (sofern erkannt) angezeigt.

  • Abhängigkeiten für private Repositorys, private Paketen oder nicht erkannte Dateien werden im Nur-Text-Format angezeigt.

  • Wenn sich der Paket-Manager für die Abhängigkeit in einem öffentlichen Repository befindet, kannst du mit dem Mauszeiger auf den Abhängigkeitsnamen zeigen, um ein Popupfenster mit den zugeordneten Repositoryinformationen anzuzeigen.

  • Du kannst Abhängigkeiten sortieren und filtern, indem du in der Suchleiste Filter als key:value-Paare eingeben.

    • Verwende ecosystem: <ecosystem-name>, um Abhängigkeiten für das ausgewählte Ökosystem anzuzeigen.
    • Verwende relationship:, um die Liste nach Beziehungsstatus zu filtern. Mögliche Werte sind direct, transitive und inconclusive. Alternativ kannst du auf die Beziehungsbezeichnung neben einem Abhängigkeitsnamen klicken, um ausschließlich Abhängigkeiten desselben Beziehungsstatus anzuzeigen. Dieser Filter ist nur für Ökosysteme mit Unterstützung transitiver Abhängigkeiten verfügbar. Weitere Informationen findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.

Abhängigkeiten, die mithilfe der Abhängigkeitsübermittlungs-API an ein Projekt übermittelt wurden, zeigen an, welcher Detektor für ihre Übermittlung verwendet wurde und wann sie übermittelt wurden. Weitere Informationen zur Verwendung der Abhängigkeitsübermittlungs-API findest du unter Verwenden der Abhängigkeitsübermittlungs-API.

Wenn Sicherheitsrisiken im Repository erkannt wurden, werden diese oben in der Ansicht für Benutzer*innen mit Zugriff auf Dependabot alerts angezeigt.

Ansicht der abhängigen Elemente

Bei öffentlichen Repositorys zeigt die Ansicht der abhängigen Elemente, wie das Repository von anderen Repositorys verwendet wird. Wenn du nur die Repositorys anzeigen möchtest, die eine Bibliothek in einem Paket-Manager enthalten, klicke direkt oberhalb der Liste der abhängigen Repositorys auf ANZAHL Pakete. Bei der Anzahl der abhängigen Elemente handelt es sich um Schätzwerte, die möglicherweise nicht immer mit den aufgelisteten Abhängigen übereinstimmen.

Aktivieren und Deaktivieren des Abhängigkeitsdiagramms

Repositoryadmins können das Abhängigkeitsdiagramm für private Repositorys bzw. öffentliche Forks aktivieren oder deaktivieren.

Du kannst das Abhängigkeitsdiagramm für alle Repositorys aktivieren oder deaktivieren, die deinem Benutzerkonto gehören. Weitere Informationen finden Sie unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto.

Du kannst das Abhängigkeitsdiagramm auch für mehrere Repositorys in einer Organisation gleichzeitig aktivieren. Weitere Informationen findest du unter Schützen deiner Organisation.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Lies den Hinweis zum Erteilen des schreibgeschützten Zugriffs auf die Repositorydaten an GitHub, um das Abhängigkeitsdiagramm zu aktivieren, und klicke neben „Dependency Graph“ auf Enable.

    Du kannst das Abhängigkeitsdiagramm jederzeit deaktivieren, indem du auf der Einstellungsseite für „Advanced Security“neben „Dependency Graph“ auf Disable klickst.

Ändern des Pakets „Verwendet von“

Möglicherweise ist dir aufgefallen, dass die Randleiste der Registerkarte Code in einigen Repositorys den Abschnitt „Verwendet von“ enthält. dein Repository weist den Abschnitt „Verwendet von“ unter folgenden Bedingungen auf:

  • Das Abhängigkeitsdiagramm ist für das Repository aktiviert (weitere Details im obigen Abschnitt).
  • Dein Repository enthält ein Paket, das in einem unterstützten Paketökosystem veröffentlicht wurde.
  • Innerhalb des Ökosystems verfügt dein Paket über einen Link zu einem öffentlichen Repository, in dem die Quelle gespeichert ist.
  • Mehr als 100 Repositorys sind von deinem Paket abhängig.

Der Abschnitt „Verwendet von“ zeigt die Anzahl der gefundenen öffentlichen Verweise auf das Paket sowie die Avatare einiger Besitzer*innen der abhängigen Projekte.

Screenshot: Abschnitt „Used by“ eines Repositorys mit der Zusammenfassung von „13,4m“ mit Details von 8 Avataren und „+13.435.819“

Wenn du in diesem Abschnitt auf ein Element klickst, gelangst du zur Registerkarte Abhängige Elemente des Abhängigkeitsdiagramms.

Der Abschnitt „Verwendet von“ stellt ein einzelnes Paket aus dem Repository dar. Wenn du über Administratorberechtigungen für ein Repository verfügst, das mehrere Pakete enthält, kannst du auswählen, welches Paket im Abschnitt „Verwendet von“ angezeigt werden soll.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicke unter „Advanced Security“ im Abschnitt „Used by counter“ auf das Dropdownmenü, und wähle ein Paket aus.

Weiterführende Themen