Skip to main content

Explorar las dependencias de un repositorio

Puedes usar el gráfico de dependencias para ver los paquetes de los que depende tu proyecto y los repositorios que dependen de él. Adicionalmente, puedes ver cualquier vulnerabilidad que se detecte en sus dependencias.

¿Quién puede utilizar esta característica?

Administradores de repositorios, propietarios de la organización y personas con acceso de escritura o mantenimiento a un repositorio

Visualizar la gráfica de dependencias

El gráfico de dependencias muestra las dependencias y los dependientes del repositorio. Puedes ver la información de la licencia y la gravedad de la vulnerabilidad para cada dependencia. También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente por gravedad de la vulnerabilidad. Para obtener información sobre la detección de dependencias y los ecosistemas compatibles, consulta Ecosistemas de paquetes admitidos para el gráfico de dependencias.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haga clic en Información.

    Captura de pantalla de la página principal de un repositorio. En la barra de navegación horizontal, una pestaña, etiquetada con un icono de grafo y "Información", se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haga clic en Gráfico de dependencias.

    Captura de pantalla de la pestaña "Gráfico de dependencias". La pestaña está resaltada con un contorno naranja.

  4. Opcionalmente, usa la barra de búsqueda para buscar una dependencia específica o un conjunto de dependencias.

    Note

    Nota: La barra de búsqueda solo busca contenido en función del nombre del paquete.

  5. Opcionalmente, para ver los repositorios y paquetes que dependen del repositorio, en "Gráfico de dependencias", haz clic en Dependientes.

    Captura de pantalla de la página "Gráfico de dependencias". La pestaña "Dependientes" aparece resaltada con un contorno naranja.

    Note

    Actualmente, GitHub solo determina los dependientes de los repositorios públicos.

Vista de dependencias

Para cada dependencia, puedes ver su ecosistema, el archivo de manifiesto en el que se encontró y la licencia (donde se detectó). Las dependencias en los repositorios privados, paquetes privados, o archivos no reconocidos se muestran en texto simple. Si el administrador de paquetes de la dependencia está en un repositorio público, puedes mantener el puntero sobre el nombre de dependencia para mostrar un elemento emergente con la información del repositorio asociado.

Las dependencias enviadas a un proyecto mediante la API de envío de dependencias (beta) mostrarán qué detector se usó para su envío y cuándo se enviaron. Para obtener más información sobre el uso de API de envío de dependencias, consulta Uso de la Dependency submission API.

Si se han detectado vulnerabilidades en el repositorio, estas se muestran en la parte superior de la vista para los usuarios con acceso a Dependabot alerts.

Vista de dependientes

Para los repositorios públicos, la vista de dependientes muestra cómo otros repositorios utilizan este repositorio. Para mostrar únicamente los repositorios que contienen una biblioteca en un administrador de paquetes, haga clic en la opción NUMBER Packages que aparece justo encima de la lista de repositorios dependientes. La cantidad de dependientes es aproximada y podría no siempre empatar con los dependientes listados.

Habilitar e inhabilitar la gráfica de dependencias para un repositorio privado

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios privados o internos.

También puede habilitar o inhabilitar la gráfica de dependencias para todos los repositorios que pertenecen a su cuenta de usuario u organización. Para obtener más información, consulta "Administración de la configuración de seguridad y análisis para la cuenta personal".

También puedes habilitar el gráfico de dependencias para varios repositorios de una organización al mismo tiempo. Para obtener más información, consulte "Protección de la organización."

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Code security.

  4. Lea el mensaje sobre otorgar acceso de solo lectura a GitHub Enterprise Cloud para los datos del repositorio para poder habilitar el gráfico de dependencias. A continuación, haga clic en Enable junto a "Dependency Graph".

    Captura de pantalla en la que se muestra cómo habilitar el gráfico de dependencias de un repositorio. El botón "Habilitar" está resaltado con un contorno naranja oscuro.

    Puedes deshabilitar el gráfico de dependencias en cualquier momento haciendo clic en Disable junto a "Dependency Graph" en la página de configuración de "code security and analysis".

Cambiar el paquete "Utilizado por"

Es posible que observe que algunos repositorios tienen una sección "Used by" en la barra lateral de la pestaña Code. El repositorio tendrá una sección "Used by" si:

  • La gráfica de dependencias está habilitada para el repositorio (consulta la sección anterior para obtener más detalles).
  • El repositorio contiene un paquete que se publica en un ecosistema de paquetes compatible.
  • Dentro del ecosistema, su paquete tiene un vínculo a un repositorio público donde se almacena el origen.
  • Más de 100 repositorios dependen del paquete.

La sección de "Utilizado por" muestra la cantidad de referencias públicas al paquete que se encontró, y muestra los avatares de algunos de los propietarios de los proyectos dependientes.

Captura de pantalla de la sección "Utilizado por" de un repositorio. A la derecha del encabezado "Utilizado por" está "13,4 m". Bajo el encabezado hay 8 avatares y "+13 435 819".

Al hacer clic en cualquier elemento de esta sección, se le redirige a la pestaña Dependents del gráfico de dependencias.

La sección de "Utilizado por" representa un solo paquete del repositorio. Si tienes permisos de administrador en un repositorio que contenga paquetes múltiples, puedes elegir qué paquete reporesenta la sección de "Utilizado por".

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Code security.

  4. Debajo de "Análisis y seguridad del código", haz clic en el menú desplegable de la sección "Contador de usado por" y elige un paquete.

Solución de problemas del gráfico de dependencias

Si tu gráfica de dependencias está vacía, puede que haya un problema con el archivo que contiene tus dependencias. Revisa el archivo para asegurarte de que tiene el formato correcto para el tipo de archivo.

Si el archivo tiene el formato correcto, compruebe su tamaño. El gráfico de dependencias ignora los archivos individuales de manifiesto y de bloqueo que pesen más de 1.5 Mb, a menos que sea usuario de GitHub Enterprise. Este procesa hasta 150 archivos de manifiesto o de bloqueo por repositorio predeterminadamente, así que puedes dividir las dependencias en archivos más pequeños en los subdirectorios del repositorio.

Si un archivo de manifiesto o de bloqueo no se procesa, sus dependencias se omiten en el gráfico de dependencias y no podrán verificarse en busca de dependencias no seguras.

Información adicional