Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Exploration des dépendances d’un dépôt

Dans cet article

Vous pouvez utiliser le graphique de dépendances pour afficher les packages dont dépend votre projet et les référentiels qui dépendent de celui-ci. En outre, vous pouvez voir l’ensemble des vulnérabilités détectées dans ses dépendances.

Affichage du graphe de dépendances

Le graphe de dépendances affiche les dépendances et les éléments dépendants de votre dépôt. Pour plus d’informations sur la détection des dépendances et sur les écosystèmes pris en charge, consultez « À propos du graphe de dépendances ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Insights. Onglet Insights dans la barre de navigation du dépôt principal 3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances. Capture d’écran de l’onglet « Graphe des dépendances ». L’onglet est mis en évidence avec un encadré orange.
  2. Si vous le souhaitez, sous « Graphe de dépendances », cliquez sur Éléments dépendants. Capture d’écran de l’onglet « Éléments dépendants » dans la page Graphe de dépendances

Affichage des dépendances

Les dépendances sont regroupées par écosystème. Vous pouvez développer une dépendance pour afficher ses dépendances. Les dépendances sur les dépôts privés, les packages privés ou les fichiers non reconnus sont affichées en texte brut. Si le gestionnaire de package pour la dépendance se trouve dans un dépôt public, GitHub affiche un lien vers ce dépôt.

Les dépendances envoyées à un projet à l’aide de l’API de soumission de dépendances (bêta), bien qu’elles soient également regroupées par écosystème, sont affichées séparément des dépendances identifiées via le manifeste ou les fichiers de verrouillage dans le référentiel. Ces dépendances envoyées apparaissent dans le graphique de dépendances en tant que « Dépendances d’instantanés », car elles sont envoyées en tant qu’instantané, ou groupe, de dépendances. Pour plus d’informations sur l’utilisation de l’API d’envoi de dépendances, consultez « Utilisation de l’API de soumission de dépendances ».

Si des vulnérabilités ont été détectées dans le dépôt, celles-ci apparaissent en haut de l’affichage pour les utilisateurs ayant accès aux Dependabot alerts.

Affichage des éléments dépendants

Pour les dépôts publics, l’affichage des éléments dépendants montre comment le dépôt est utilisé par les autres dépôts. Pour afficher uniquement les dépôts qui contiennent une bibliothèque dans un gestionnaire de package, cliquez sur packages juste au-dessus de la liste des dépôts dépendants. Les nombres d’éléments dépendants sont approximatifs et peuvent ne pas toujours correspondre aux dépendants listés.

Activation et désactivation du graphe de dépendances pour un dépôt privé

Les administrateurs de dépôts peuvent activer ou désactiver le graphe de dépendances pour les dépôts privés.

Vous pouvez également activer ou désactiver le graphe de dépendances pour tous les dépôts appartenant à votre compte d’utilisateur ou organisation. Pour plus d’informations, consultez « Configuration du graphe de dépendances ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant et cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Lisez le message sur l’octroi à GitHub de l’accès en lecture seule aux données du dépôt pour activer le graphe de dépendances, puis en regard de « Graphe de dépendances », cliquez sur Activer.

    Capture d’écran montrant comment activer le graphe des dépendances pour un dépôt. Le bouton « Activer » est mis en évidence avec un encadré orange foncé.

    Vous pouvez désactiver le graphe des dépendances à tout moment en cliquant sur Désactiver à côté de « Graphe des dépendances » dans la page des paramètres pour « Sécurité et analyse du code ».

Modification du package « Utilisé par »

Vous remarquerez peut-être que certains dépôts ont une section « Utilisé par » dans la barre latérale de l’onglet Code. Votre dépôt a une section « Utilisé par » si :

  • Le graphe de dépendances est activé pour le dépôt (consultez la section ci-dessus pour plus d’informations).
  • Votre dépôt contient un package publié sur un écosystème de packages pris en charge.
  • Dans l’écosystème, votre package a un lien vers un dépôt public où la source est stockée.

La section « Utilisé par » indique le nombre de références publiques au package qui ont été trouvées et affiche les avatars de certains des propriétaires des projets dépendants.

Section « Utilisé par » dans la barre latérale

Si vous cliquez sur un élément de cette section, vous accédez à l’onglet Éléments dépendants du graphe de dépendances.

La section « Utilisé par » représente un package unique du dépôt. Si vous disposez d’autorisations d’administrateur sur un dépôt qui contient plusieurs packages, vous pouvez choisir quel package est représenté par la section « Utilisé par ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant et cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Sous « Sécurité et analyse du code », cliquez sur le menu déroulant de la section « Utilisé par compteur » et choisissez un package. Choisir un package « Utilisé par »

Résolution des problèmes liés au graphe de dépendances

Si votre graphe de dépendances est vide, il peut y avoir un problème avec le fichier contenant vos dépendances. Vérifiez que le fichier est correctement mis en forme pour son type.

Si le fichier est correctement mis en forme, vérifiez sa taille. Le graphe de dépendances ignore les fichiers manifeste et de verrouillage individuels qui dépassent 1,5 Mo, sauf si vous êtes utilisateur GitHub Enterprise. Il traite par défaut jusqu’à 20 fichiers manifestes ou de verrouillage par dépôt. Vous pouvez donc diviser les dépendances en fichiers plus petits dans les sous-répertoires du dépôt.

Si un fichier manifeste ou de verrouillage n’est pas traité, ses dépendances sont omises dans le graphique de dépendances et il est impossible d’y vérifier la présence de dépendances non sécurisées.

Pour aller plus loin