Untersuchen der Abhängigkeiten eines Repositorys

In diesem Artikel

Du kannst das Abhängigkeitsdiagramm verwenden, um die Pakete, von denen dein Projekt abhängt, und die Repositorys, die davon abhängig sind, anzuzeigen. Darüber hinaus kannst du alle ermittelten Sicherheitsrisiken in ihren Abhängigkeiten anzeigen.

Anzeigen des Abhängigkeitsdiagramms

Das Abhängigkeitsdiagramm zeigt die Abhängigkeiten und abhängigen Elemente deines Repositorys. Für jede Abhängigkeit werden die Lizenzinformationen und Sicherheitsrisikoschweregrade angezeigt. Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch nach dem Sicherheitsrisikoschweregrad sortiert. Informationen zur Erkennung von Abhängigkeiten und zu den unterstützten Ökosystemen findest du unter Informationen zum Abhängigkeitsdiagramm.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Erkenntnisse“ beschriftet ist, dunkelorange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm. Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.

  4. Verwende optional die Suchleiste, um nach einer bestimmten Abhängigkeit oder nach mehreren Abhängigkeiten zu suchen.

    Hinweis: Über die Suchleiste kann nur anhand des Paketnamens gesucht werden.

  5. Um die Repositorys und Pakete anzuzeigen, die von deinem Repository abhängen, klicke optional unter „Abhängigkeitsdiagramm“ auf Abhängige Elemente.

    Screenshot: Seite „Abhängigkeitsdiagramm“. Die Registerkarte „Abhängige Elemente“ ist orange umrandet.

Abhängigkeitsansicht

Für jede Abhängigkeit werden das Ökosystem, die Manifestdatei, in der sie gefunden wurde, und die Lizenz (sofern erkannt) angezeigt. Abhängigkeiten von privaten Repositorys, privaten Paketen oder nicht erkannten Dateien werden im Nur-Text-Format angezeigt. Wenn sich der Paket-Manager für die Abhängigkeit in einem öffentlichen Repository befindet, kannst du mit dem Mauszeiger auf den Abhängigkeitsnamen zeigen, um ein Popupfenster mit den zugeordneten Repositoryinformationen anzuzeigen.

Abhängigkeiten, die mithilfe der Abhängigkeitsübermittlungs-API (Betaversion) an ein Projekt übermittelt werden, geben an, welche Erkennung für die Übermittlung verwendet wurde und wann sie übermittelt wurden. Weitere Informationen zur Verwendung der Abhängigkeitsübermittlungs-API findest du unter Verwenden der Abhängigkeitsübermittlungs-API.

Wenn Sicherheitsrisiken im Repository erkannt wurden, werden diese oben in der Ansicht für Benutzer*innen mit Zugriff auf Dependabot alerts angezeigt.

Ansicht der abhängigen Elemente

Bei öffentlichen Repositorys zeigt die Ansicht der abhängigen Elemente, wie das Repository von anderen Repositorys verwendet wird. Wenn du nur die Repositorys anzeigen möchtest, die eine Bibliothek in einem Paket-Manager enthalten, klicke direkt oberhalb der Liste der abhängigen Repositorys auf ANZAHL Pakete. Bei der Anzahl der abhängigen Elemente handelt es sich um Schätzwerte, die möglicherweise nicht immer mit den aufgelisteten Abhängigen übereinstimmen.

Aktivieren und Deaktivieren des Abhängigkeitsdiagramms für ein privates Repository

Repositoryadministrator*innen können das Abhängigkeitsdiagramm für private Repositorys aktivieren oder deaktivieren.

Du kannst das Abhängigkeitsdiagramm für alle Repositorys aktivieren oder deaktivieren, die deinem Benutzerkonto gehören. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto.

Du kannst das Abhängigkeitsdiagramm auch für mehrere Repositorys in einer Organisation gleichzeitig aktivieren. Weitere Informationen findest du unter Schützen deiner Organisation.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Lies den Hinweis zum Erteilen des schreibgeschützten Zugriffs auf die Repositorydaten an GitHub , um das Abhängigkeitsdiagramm zu aktivieren, und klicke neben „Abhängigkeitsdiagramm“ auf Aktivieren.

    Screenshot der Aktivierung des Abhängigkeitsdiagramms für ein Repository. Die Schaltfläche „Aktivieren“ ist dunkelorange umrandet.

    Sie können das Abhängigkeitsdiagramm jederzeit deaktivieren, indem Sie auf der Einstellungsseite für „Codesicherheit und -analyse“ neben „Abhängigkeitsdiagramm“ auf Deaktivieren klicken.

Ändern des Pakets „Verwendet von“

Möglicherweise ist dir aufgefallen, dass die Randleiste der Registerkarte Code in einigen Repositorys den Abschnitt „Verwendet von“ enthält. dein Repository weist den Abschnitt „Verwendet von“ unter folgenden Bedingungen auf:

  • Das Abhängigkeitsdiagramm ist für das Repository aktiviert (weitere Details im obigen Abschnitt).
  • Dein Repository enthält ein Paket, das in einem unterstützten Paketökosystem veröffentlicht wurde.
  • Innerhalb des Ökosystems verfügt dein Paket über einen Link zu einem öffentlichen Repository, in dem die Quelle gespeichert ist.
  • Mehr als 100 Repositorys sind von deinem Paket abhängig.

Der Abschnitt „Verwendet von“ zeigt die Anzahl der gefundenen öffentlichen Verweise auf das Paket sowie die Avatare einiger Besitzer*innen der abhängigen Projekte.

Screenshot: Abschnitt „Verwendet von“ für ein Repository. Rechts neben der Überschrift „Verwendet von“ wird „13,4 Mio.“ angezeigt. Unter der Überschrift befinden sich 8 Avatare und die Zahl „+13.435.819“.

Wenn du in diesem Abschnitt auf ein Element klickst, gelangst du zur Registerkarte Abhängige Elemente des Abhängigkeitsdiagramms.

Der Abschnitt „Verwendet von“ stellt ein einzelnes Paket aus dem Repository dar. Wenn du über Administratorberechtigungen für ein Repository verfügst, das mehrere Pakete enthält, kannst du auswählen, welches Paket im Abschnitt „Verwendet von“ angezeigt werden soll.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicke unter „Codesicherheit und -analyse“ im Abschnitt „Zähler für ‚Verwendet von‘“ auf das Dropdownmenü, und wähle ein Paket aus.

Fehler beim Abhängigkeitsdiagramm beheben

Wenn dein Abhängigkeitsdiagramm leer ist, liegt möglicherweise ein Problem mit der Datei vor, die deine Abhängigkeiten enthält. Überprüfe deine Datei, um sicherzustellen, dass sie für diesen Dateityp korrekt formatiert ist.

Wenn die Datei ordnungsgemäß formatiert ist, überprüfe ihre Größe. Das Abhängigkeitsdiagramm ignoriert einzelne Manifest- und Sperrdateien, die größer als 1,5 MB sind, es sei denn, du bist GitHub Enterprise-Benutzer*in. Es verarbeitet standardmäßig bis zu 150 Manifestdateien oder gesperrte Dateien pro Repository, sodass Abhängigkeiten in kleinere Dateien in Unterverzeichnissen des Repositorys aufgeteilt werden können.

Wenn eine Manifest- oder Sperrdatei nicht verarbeitet wird, werden die Abhängigkeiten aus dem Abhängigkeitsdiagramm ausgelassen und können nicht auf unsichere Abhängigkeiten überprüft werden.

Weitere Informationsquellen