Disponibilidad de la gráfica de dependencias
La gráfica de dependencias se encuentra disponible para cualquier repositorio que defina dependencias en un ecosistema de paquetes compatible utilizando un formato de archivos compatible.
Tu administrador de sitio debe habilitar las alertas de seguridad para las dependencias vulnerables de tu instancia de servidor de GitHub Enterprise para que puedas utilizar esta característica. Para obtener más información, consulta "Habilitar alertas de seguridad para dependencias vulnerables en el GitHub Enterprise Server".
Acerca del gráfico de dependencias
The dependency graph is a summary of the manifest and lock files stored in a repository. For each repository, it shows dependencies, that is, the ecosystems and packages it depends on. GitHub Enterprise Server does not calculate information about dependents, the repositories and packages that depend on a repository.
When you push a commit to GitHub Enterprise that changes or adds a supported manifest or lock file to the default branch, the dependency graph is automatically updated. For information on the supported ecosystems and manifest files, see "Supported package ecosystems" below.
Dependencias que se incluyen
La gráfica de dependencias incluye todas las dependencias de un repositorio que se describan en los archivos de manifiesto y de bloqueo o sus equivalentes para los ecosistemas compatibles. Esto incluye:
- Las dependencias directas que se definen explícitamente en el archivo de manifiesto o de bloqueo
- Las dependencias indirectas de estas dependencias directas, también conocidas como dependencias transitorias o sub-dependencias
The dependency graph identifies indirect dependencies from the lock files.
Utiizar la gráfica de dependencias
Puedes utilizar la gráfica de dependencias para:
- Explore the repositories your code depends on. For more information, see "Exploring the dependencies of a repository."
- Ver y actualizar las dependencias vulnerables de tu repositorio. El gráfico de dependencias detalla las dependencias vulnerables ante otras dependencias. Para obtener más información, consulta la sección "Acerca de las alertas para las dependencias vulnerables".
Habilitar la gráfica de dependencias
Si la gráfica de dependencias no está disponible en tu sistema, tu administrador de sitio puede habilitarla, así como puede habilitar las alertas de seguridad. Para obtener más información, consulta la sección "Habilitar las alertas de seguridad para las dependencias vulnerables en GitHub Enterprise Server".
Cuando la gráfica de dependencias se habilita por primera vez, cualquier manifiesto y archivo de bloqueo para los ecosistemas compatibles se pasarán de inmediato. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Once enabled, the graph is automatically updated with every push to the repository.
Ecosistemas de paquetes compatibles
Los formatos recomendados definen explícitamente qué versiones se utilizan para todas las dependencias directas e indirectas. Si utilizas estos formatos, tu gráfica de dependencias será más precisa. It also reflects the current build set up and enables the dependency graph to report vulnerabilities in both direct and indirect dependencies.
Administración de paquetes | Idiomas | Formatos recomendados | Todos los formatos compatibles |
---|
|
| dotnet
CLI | .NET languages (C#, C++, F#, VB) | .csproj
, .vbproj
, .nuspec
, .vcxproj
, .fsproj
| .csproj
, .vbproj
, .nuspec
, .vcxproj
, .fsproj
, packages.config
|
| Maven | Java, Scala | pom.xml
| pom.xml
|
| npm | JavaScript | package-lock.json
| package-lock.json
, package.json
|
| Python PIP | Python | requirements.txt
, pipfile.lock
| requirements.txt
, pipfile.lock
, setup.py
|
| RubyGems | Ruby | Gemfile.lock
| Gemfile.lock
, Gemfile
, `.gemspec | | Yarn | JavaScript |
yarn.lock |
package.json,
yarn.lock` |
Nota: Si listas tus dependencias de Python dentro de un archivo setup.py
, es probable que no podamos analizar y listar cada una de las dependencias en tu proyecto.
Leer más
- "Gráfica de dependencias" en Wikipedia
- "Exploring the dependencies of a repository"