Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Exploration des dépendances d’un dépôt

Vous pouvez utiliser le graphique de dépendances pour afficher les packages dont dépend votre projet et les référentiels qui dépendent de celui-ci. En outre, vous pouvez voir l’ensemble des vulnérabilités détectées dans ses dépendances.

Affichage du graphe de dépendances

Le graphe de dépendances affiche les dépendances et les éléments dépendants de votre dépôt. Pour plus d’informations sur la détection des dépendances et sur les écosystèmes pris en charge, consultez « À propos du graphe de dépendances ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Insights. Onglet Insights dans la barre de navigation du dépôt principal 3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances. Onglet Graphe des dépendances dans la barre latérale à gauche
  2. Si vous le souhaitez, sous « Graphe de dépendances », cliquez sur Éléments dépendants. Onglet Éléments dépendants dans la page Graphe de dépendances

Affichage des dépendances

Les dépendances sont regroupées par écosystème. Vous pouvez développer une dépendance pour afficher ses dépendances. Les dépendances sur les dépôts privés, les packages privés ou les fichiers non reconnus sont affichées en texte brut. Si le gestionnaire de package pour la dépendance se trouve dans un dépôt public, GitHub Enterprise Cloud affiche un lien vers ce dépôt.

Les dépendances envoyées à un projet à l’aide de l’API de soumission de dépendances (bêta), bien qu’elles soient également regroupées par écosystème, sont affichées séparément des dépendances identifiées via le manifeste ou les fichiers de verrouillage dans le référentiel. Ces dépendances envoyées apparaissent dans le graphique de dépendances en tant que « Dépendances d’instantanés », car elles sont envoyées en tant qu’instantané, ou groupe, de dépendances. Pour plus d’informations sur l’utilisation de l’API de soumission de dépendances, consultez « Utilisation de l’API de soumission de dépendances ».

Si des vulnérabilités ont été détectées dans le dépôt, celles-ci apparaissent en haut de l’affichage pour les utilisateurs ayant accès aux Dependabot alerts.

Graphe de dépendances

Affichage des éléments dépendants

Pour les dépôts publics, l’affichage des éléments dépendants montre comment le dépôt est utilisé par les autres dépôts. Pour afficher uniquement les dépôts qui contiennent une bibliothèque dans un gestionnaire de package, cliquez sur packages juste au-dessus de la liste des dépôts dépendants. Les nombres d’éléments dépendants sont approximatifs et peuvent ne pas toujours correspondre aux dépendants listés.

Graphe des éléments dépendants

Activation et désactivation du graphe de dépendances pour un dépôt privé

Les administrateurs de dépôts peuvent activer ou désactiver le graphe de dépendances pour les dépôts privés.

Vous pouvez également activer ou désactiver le graphe de dépendances pour tous les dépôts appartenant à votre compte d’utilisateur ou organisation. Pour plus d’informations, consultez « Configuration du graphe des dépendances ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Bouton Paramètres du dépôt

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Lisez le message sur l’octroi à GitHub Enterprise Cloud de l’accès en lecture seule aux données du dépôt pour activer le graphe de dépendances, puis en regard de « Graphe de dépendances », cliquez sur Activer. Bouton « Activer » pour le graphe de dépendances Vous pouvez désactiver le graphe de dépendances à tout moment en cliquant sur Désactiver en regard de « Graphe de dépendances » dans la page des paramètres pour  Sécurité et analyse du code.

Modification du package « Utilisé par »

Vous remarquerez peut-être que certains dépôts ont une section « Utilisé par » dans la barre latérale de l’onglet Code. Votre dépôt a une section « Utilisé par » si :

  • Le graphe de dépendances est activé pour le dépôt (consultez la section ci-dessus pour plus d’informations).
  • Votre dépôt contient un package publié sur un écosystème de packages pris en charge.
  • Dans l’écosystème, votre package a un lien vers un dépôt public où la source est stockée.

La section « Utilisé par » indique le nombre de références publiques au package qui ont été trouvées et affiche les avatars de certains des propriétaires des projets dépendants.

Section « Utilisé par » dans la barre latérale

Si vous cliquez sur un élément de cette section, vous accédez à l’onglet Éléments dépendants du graphe de dépendances.

La section « Utilisé par » représente un package unique du dépôt. Si vous disposez d’autorisations d’administrateur sur un dépôt qui contient plusieurs packages, vous pouvez choisir quel package est représenté par la section « Utilisé par ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Bouton Paramètres du dépôt

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Sous « Sécurité et analyse du code », cliquez sur le menu déroulant de la section « Utilisé par compteur » et choisissez un package. Choisir un package « Utilisé par »

Résolution des problèmes liés au graphe de dépendances

Si votre graphe de dépendances est vide, il peut y avoir un problème avec le fichier contenant vos dépendances. Vérifiez que le fichier est correctement mis en forme pour son type.

Si le fichier est correctement mis en forme, vérifiez sa taille. Le graphe de dépendances ignore les fichiers manifeste et de verrouillage individuels qui dépassent 1,5 Mo, sauf si vous êtes utilisateur GitHub Enterprise. Il traite par défaut jusqu’à 20 fichiers manifestes ou de verrouillage par dépôt. Vous pouvez donc diviser les dépendances en fichiers plus petits dans les sous-répertoires du dépôt.

Si un fichier manifeste ou de verrouillage n’est pas traité, ses dépendances sont omises dans le graphique de dépendances et il est impossible d’y vérifier la présence de dépendances non sécurisées.

Pour aller plus loin