Skip to main content

Configuration du graphe de dépendances

Vous pouvez autoriser les utilisateurs à identifier les dépendances de leurs projets en activant le graphe des dépendances.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

À propos du graphe de dépendances

Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche :

  • Dépendances, les écosystèmes et les packages dont il dépend
  • Les dépendants : les dépôts et packages qui en dépendent

Pour chaque dépendance, vous pouvez voir les informations de licence et la gravité de la vulnérabilité. Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement par gravité de vulnérabilité.

Pour plus d’informations, consultez « À propos du graphe de dépendances ».

Configuration du graphe de dépendances

Pour générer un graphe de dépendances, GitHub a besoin d’un accès en lecture seule aux fichiers de verrouillage et manifeste de dépendance d’un référentiel. Le graphe des dépendances est automatiquement généré pour tous les dépôts publics, et vous pouvez choisir de l’activer pour les dépôts privés . Pour plus d’informations sur l’affichage du graphe des dépendances, consultez Exploration des dépendances d’un dépôt.

De plus, vous pouvez utiliser le API de soumission de dépendances pour soumettre des dépendances à partir du gestionnaire de packages ou de l'écosystème de votre choix, même si l'écosystème n'est pas pris en charge par le graphe des dépendances pour l'analyse des manifestes ou des fichiers de verrouillage. Les dépendances soumises à un projet en utilisant API de soumission de dépendances afficheront le détecteur qui a été utilisé pour leur soumission et la date à laquelle elles ont été soumises. Pour plus d'informations sur les API de soumission de dépendances, consultez « Utilisation de l’API de soumission de dépendances. »

Activation et désactivation du graphe de dépendances pour un dépôt privé

Les administrateurs de dépôts peuvent activer ou désactiver le graphe des dépendances pour les dépôts privés .

Vous pouvez également activer ou désactiver le graphe des dépendances pour tous les dépôts appartenant à votre compte d’utilisateur. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre compte personnel ».

Vous pouvez également activer le graphe des dépendances pour plusieurs référentiels dans une organisation en même temps. Pour plus d’informations, consultez « Sécurisation de votre organisation ».

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité du code.

  4. Lisez le message sur l’octroi à GitHub de l’accès en lecture seule aux données du dépôt pour activer le graphe de dépendances, puis en regard de « Graphe de dépendances », cliquez sur Activer.

    Capture d’écran montrant comment activer le graphe des dépendances pour un dépôt. Le bouton « Activer » est mis en évidence avec un encadré orange foncé.

    Vous pouvez désactiver le graphe des dépendances à tout moment en cliquant sur Désactiver à côté de « Graphe des dépendances » dans la page des paramètres pour« Sécurité et analyse du code ».

Lorsque le graphe de dépendances est activé pour la première fois, tous les fichiers de manifeste et de verrou pour les écosystèmes pris en charge sont analysés immédiatement. Le graphe est généralement rempli en quelques minutes, mais cela peut prendre plus de temps pour les dépôts avec de nombreuses dépendances. Une fois activé, le graphe est automatiquement mis à jour avec chaque poussée vers le dépôt et chaque poussée vers d’autres dépôts dans le graphe.

Pour aller plus loin