Esta versión de GitHub Enterprise se discontinuó el 2021-09-23. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Acerca del gráfico de dependencias

Información detallada sobre la gráfica de dependencias, el ecosistema con el que es compatible, y sobre cómo determina de qué paquetes depende un repositorio.

Disponibilidad de la gráfica de dependencias

La gráfica de dependencias está disponible para cada repositorio que define las dependencias en un ecosistema de paquetes compatible utilizando un formato de archivos compatible.

Tu administrador de sitio debe habilitar las alertas del Dependabot para las dependencias vulnerables para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar las alertas para las dependencias vulnerables en GitHub Enterprise Server".

Acerca del gráfico de dependencias

La gráfica de dependencias es un resumen de los archivos de bloqueo y de manifiesto que se almacenan en un repositorio. Este muestra las dependencias, es decir, los paquetes y ecosistemas de los cuales depende, para cada repositorio. GitHub Enterprise Server no calcula información alguna sobre los dependientes, repositorios y paquetes que dependen de un repositorio.

Cuando cargas una confirmación a GitHub Enterprise Server, la cual cambia o agrega un archivo de manifiesto o de bloqueo compatible a la rama predeterminada, la gráfica de dependencias se actualiza automáticamente. Para obtener más información sobre los ecosistemas y archivos de manifiesto compatibles, consulta la sección "Ecosistemas de paquetes compatibles" que se encuentra más adelante.

Dependencias que se incluyen

La gráfica de dependencias incluye todas las dependencias de un repositorio que se describan en los archivos de manifiesto y de bloqueo o sus equivalentes para los ecosistemas compatibles. Esto incluye:

  • Las dependencias directas que se definen explícitamente en el archivo de manifiesto o de bloqueo
  • Las dependencias indirectas de estas dependencias directas, también conocidas como dependencias transitorias o sub-dependencias

La gráfica de dependencias identifica las dependencias indirectas.

Utiizar la gráfica de dependencias

Puedes utilizar la gráfica de dependencias para:

Habilitar la gráfica de dependencias

Si la gráfica de dependencias no se encuentra disponible en tu sistema, tu administrador de sitio puede habilitarla junto con las Las alertas del dependabot. Para obtener más información, consulta la sección "Habilitar las alertas para las dependencias vulnerables en GitHub Enterprise Server".

Cuando la gráfica de dependencias se habilita por primera vez, cualquier manifiesto y archivo de bloqueo para los ecosistemas compatibles se pasarán de inmediato. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Una vez que se habilitan, la gráfica se actualiza automáticamente con cada subida al repositorio.

Ecosistemas de paquetes compatibles

Los formatos recomendados definen explícitamente qué versiones se utilizan para todas las dependencias directas e indirectas. Si utilizas estos formatos, tu gráfica de dependencias será más precisa. También refleja la configuración de la compilación actual y habilita a la gráfica de dependencias para reportar las vulnerabilidades tanto en las dependencias directas como en las indirectas.

Los ecosistemas que se listan a continuación son compatibles con la gráfica de dependencias y con las Las alertas del dependabot.

Administración de paquetesIdiomasFormatos recomendadosTodos los formatos compatibles
ComposerPHPcomposer.lockcomposer.json, composer.lock
dotnet CLI.NET languages (C#, C++, F#, VB).csproj, .vbproj, .nuspec, .vcxproj, .fsproj.csproj, .vbproj, .nuspec, .vcxproj, .fsproj, packages.config
MavenJava, Scalapom.xmlpom.xml
npmJavaScriptpackage-lock.jsonpackage-lock.json, package.json
Python PIPPythonrequirements.txt, pipfile.lockrequirements.txt, pipfile, pipfile.lock, setup.py*
RubyGemsRubyGemfile.lockGemfile.lock, Gemfile, *.gemspec
YarnJavaScriptyarn.lockpackage.json, yarn.lock

Nota: Si listas tus dependencias de Python dentro de un archivo setup.py, es probable que no podamos analizar y listar cada una de las dependencias en tu proyecto.

Leer más