Informationen zum Abhängigkeitsdiagramm
Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und gesperrten Dateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt:
- Abhängigkeiten (die Ökosysteme und Pakete, von denen es abhängig ist)
- Abhängige Elemente (die Repositorys und Pakete, die von ihm abhängig sind)
Für jede Abhängigkeit kannst du die Version, die Lizenzinformationen, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt. Die Schaltfläche ... zeigt den transitiven Pfad an, über den die Abhängigkeit besteht. Weitere Informationen zur Unterstützung von transitiven Abhängigkeiten findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.
Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen.
Weitere Informationen finden Sie unter Informationen zum Abhängigkeitsdiagramm.
Konfigurieren des Abhängigkeitsdiagramms
Zum Generieren eines Abhängigkeitsdiagramms benötigt GitHub schreibgeschützten Zugriff auf die Abhängigkeitsmanifest- und Sperrdateien eines Repositorys. Das Abhängigkeitsdiagramm wird automatisch für alle öffentlichen Repositorys generiert, und du kannst es für private und interne Repositorys sowie öffentliche Forks aktivieren. Weitere Informationen zur Anzeige des Abhängigkeitsdiagramms findest du unter Untersuchen der Abhängigkeiten eines Repositorys.
Darüber hinaus können Sie mit der Abhängigkeitsübermittlungs-API auch dann Abhängigkeiten aus dem Paket-Manager oder Ökosystem Ihrer Wahl übermitteln, wenn das Ökosystem vom Abhängigkeitsdiagramm für die Analyse von Manifest- oder gesperrten Dateien nicht unterstützt wird. Abhängigkeiten, die mit der Abhängigkeitsübermittlungs-API an ein Projekt übermittelt wurden, zeigen an, welche Erkennung für die Übermittlung verwendet wurde und wann die Übermittlung erfolgt ist. Weitere Informationen zur Abhängigkeitsübermittlungs-API findest du unter Verwenden der Abhängigkeitsübermittlungs-API.
Aktivieren und Deaktivieren des Abhängigkeitsdiagramms
Repositoryadmins können das Abhängigkeitsdiagramm für private oder interne Repositorys bzw. öffentliche Forks aktivieren oder deaktivieren.
Du kannst das Abhängigkeitsdiagramm für alle Repositorys aktivieren oder deaktivieren, die deinem Benutzerkonto gehören. Weitere Informationen finden Sie unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto.
Du kannst das Abhängigkeitsdiagramm auch für mehrere Repositorys in einer Organisation gleichzeitig aktivieren. Weitere Informationen findest du unter Schützen deiner Organisation.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.
-
Lies den Hinweis zum Erteilen des schreibgeschützten Zugriffs auf die Repositorydaten an GitHub, um das Abhängigkeitsdiagramm zu aktivieren, und klicke neben „Dependency Graph“ auf Enable.
Du kannst das Abhängigkeitsdiagramm jederzeit deaktivieren, indem du auf der Einstellungsseite für „Advanced Security“neben „Dependency Graph“ auf Disable klickst.
Wenn das Abhängigkeitsdiagramm zum ersten Mal aktiviert wird, werden alle Manifest- und Sperrdateien für unterstützte Ökosysteme sofort analysiert. Das Diagramm wird in der Regel innerhalb weniger Minuten aufgefüllt. Dies kann bei Repositorys mit vielen Abhängigkeiten jedoch länger dauern. Nach der Aktivierung wird das Diagramm automatisch mit jedem Push an das Repository und jedem Push an andere Repositorys im Diagramm aktualisiert.