Los resultados de la detección de dependencias que reporta GitHub Enterprise Server pueden ser diferentes a aquellos que devuelven otras herramientas. Esto está justificado y es útil el entender cómo GitHub determina las dependencias para tu proyecto.
¿Acaso la gráfica de dependencias solo encuentra depedencias en los manifiestos y lockfiles?
The dependency graph includes information on dependencies that are explicitly declared in your environment. Esto es, dependencias que se especifican en un manifiesto o en un lockfile. La gráfica de dependencias también incluye dependencias transitivas generalmente, aún cuando no se especifican en un lockfile, mediante la revisión de las dependencias de las dependencias en un archivo de manifiesto.
The dependency graph doesn't include "loose" dependencies. Las dependencias "sueltas" son archivos individuales que se copian de otra fuernte y se revisan directamente en el repositorio o dentro de un archivo (tal como un archivo ZIP o JAR) en ves de que se referencien en un manifiesto de paquete de administrador o en un lockfile.
Check: Is the missing dependency for a component that's not specified in the repository's manifest or lockfile?
¿Acaso la gráfica de dependencias detecta dependencias que se especifican utilizando variables?
La gráfica de dependencias analiza los manifiestos mientras se suben a GitHub. Por lo tanto, la gráfica de dependencias no tiene acceso al ambiente de compilación del proyecto, así que no puede resolver variables que se utilizan dentro de los manifiestos. If you use variables within a manifest to specify the name, or more commonly the version of a dependency, then that dependency will not be included in the dependency graph.
Verifica: ¿Acaso la dependencia faltante se declara en el manifiesto utilizando una variable para su nombre o versión?
¿Existen límites que afecten los datos de la gráfica de dependencias?
Sí, la gráfica de dependencias tiene dos categorías de límites:
-
Límites de procesamiento
Estos afectan la gráfica de dependencias que se muestra dentro de GitHub y también previenen la creación de Las alertas del dependabot.
Los manifiestos mayores a 0.5 MB solo se procesan para las cuentas empresariales. En el caso de otras cuentas, los manifiestos mayores a 0.5 MB se ingoran y no crearán Las alertas del dependabot.
Predeterminadamente, GitHub no procesará más de 20 manifiestos por repositorio. Las Las alertas del dependabot no se crean para los manifiestos más allá de este límite. Si necesitas incrementar el límite, contacta a tu administrador de sitio.
-
Límites de visualización
Estos afectan a lo que se muestra en la gráfica de dependencias dentro de GitHub. Sin embargo, estos no afectan las Las alertas del dependabot que se crean.
La vista de dependencias de la gráfica de dependencias para un repositorio solo muestra 1000 manifiestos. Habitualmente, esto es tan adecuado como es significativamente más alto que el límite de procesamiento descrito anteriormente. En situaciones en donde le límite de procesamiento es mayor a 100, las Las alertas del dependabot se crearán aún para cualquier manifiesto que no se muestre dentro de GitHub.
Verifica: ¿La dependencia faltante está en un archivo de manifiesto que tiene más de 0.5 MB, o en un repositorio con una gran cantidad de manifiesto?