Exploration des dépendances d’un dépôt

Dans cet article

Vous pouvez utiliser le graphique de dépendances pour afficher les packages dont dépend votre projet et les référentiels qui dépendent de celui-ci. En outre, vous pouvez voir l’ensemble des vulnérabilités détectées dans ses dépendances.

Affichage du graphe de dépendances

Le graphe de dépendances affiche les dépendances et les éléments dépendants de votre dépôt. Pour chaque dépendance, vous pouvez voir les informations de licence et la gravité de la vulnérabilité. Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement par gravité de vulnérabilité. Pour plus d’informations sur la détection des dépendances et les écosystèmes pris en charge, consultez « À propos du graphe de dépendances ».

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre référentiel, cliquez sur Insights.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet, marqué d’une icône de graphique et du titre « Insights », est indiqué en orange foncé.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances. Capture d’écran de l’onglet « Graphe des dépendances ». L’onglet est mis en évidence avec un encadré orange.

  4. Si vous le souhaitez, utilisez la barre de recherche pour rechercher une dépendance spécifique ou un ensemble de dépendances.

    Remarque : La barre de recherche effectue une recherche uniquement en fonction du nom du package.

  5. Si vous le souhaitez, pour afficher les dépôts et packages qui dépendent de votre dépôt, sous « Graphique de dépendances », cliquez sur Éléments dépendants.

    Capture d’écran de la page « Graphe des dépendances ». L’onglet « Dépendants » est mis en surbrillance avec un encadré orange.

Affichage des dépendances

Pour chaque dépendance, vous pouvez voir son écosystème, le fichier manifeste dans lequel elle a été trouvée et la licence (si détectée). Les dépendances sur les dépôts privés, les packages privés ou les fichiers non reconnus sont affichées en texte brut. Si le gestionnaire de package pour la dépendance se trouve dans un dépôt public, vous pouvez pointer sur le nom de la dépendance pour afficher une fenêtre contextuelle avec les informations de dépôt associées.

Les dépendances soumises à un projet avec l’API de soumission de dépendances (bêta) indiquent quel détecteur a été utilisé pour leur soumission et quand elles ont été envoyées. Pour plus d’informations sur l’utilisation de l’API de soumission de dépendances, consultez « Utilisation de l’API de soumission de dépendances ».

Si des vulnérabilités ont été détectées dans le dépôt, celles-ci apparaissent en haut de l’affichage pour les utilisateurs ayant accès aux Dependabot alerts.

Affichage des éléments dépendants

Pour les dépôts publics, l’affichage des éléments dépendants montre comment le dépôt est utilisé par les autres dépôts. Pour afficher uniquement les dépôts qui contiennent une bibliothèque dans un gestionnaire de package, cliquez sur packages juste au-dessus de la liste des dépôts dépendants. Les nombres d’éléments dépendants sont approximatifs et peuvent ne pas toujours correspondre aux dépendants listés.

Activation et désactivation du graphe de dépendances pour un dépôt privé

Les administrateurs de dépôts peuvent activer ou désactiver le graphe des dépendances pour les dépôts privés ou internes .

Vous pouvez également activer ou désactiver le graphe des dépendances pour tous les dépôts appartenant à votre compte d’utilisateur. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre compte personnel ».

Vous pouvez également activer le graphe des dépendances pour plusieurs référentiels dans une organisation en même temps. Pour plus d’informations, consultez « Sécurisation de votre organisation ».

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Lisez le message sur l’octroi à GitHub Enterprise Cloud de l’accès en lecture seule aux données du dépôt pour activer le graphe de dépendances, puis en regard de « Graphe de dépendances », cliquez sur Activer.

    Capture d’écran montrant comment activer le graphe des dépendances pour un dépôt. Le bouton « Activer » est mis en évidence avec un encadré orange foncé.

    Vous pouvez désactiver le graphe des dépendances à tout moment en cliquant sur Désactiver à côté de « Graphe des dépendances » dans la page des paramètres pour« Sécurité et analyse du code ».

Modification du package « Utilisé par »

Vous remarquerez peut-être que certains dépôts ont une section « Utilisé par » dans la barre latérale de l’onglet Code. Votre dépôt a une section « Utilisé par » si :

  • Le graphe de dépendances est activé pour le dépôt (consultez la section ci-dessus pour plus d’informations).
  • Votre dépôt contient un package publié sur un écosystème de packages pris en charge.
  • Dans l’écosystème, votre package a un lien vers un dépôt public où la source est stockée.
  • Plus de 100 référentiels dépendent de votre package.

La section « Utilisé par » indique le nombre de références publiques au package qui ont été trouvées et affiche les avatars de certains des propriétaires des projets dépendants.

Capture d’écran de la section « Utilisé par » pour un dépôt. À droite de l’en-tête « Utilisé par » se trouve « 13,4 m ». Sous l’en-tête se trouvent 8 avatars et « +13 435 819 ».

Si vous cliquez sur un élément de cette section, vous accédez à l’onglet Éléments dépendants du graphe de dépendances.

La section « Utilisé par » représente un package unique du dépôt. Si vous disposez d’autorisations d’administrateur sur un dépôt qui contient plusieurs packages, vous pouvez choisir quel package est représenté par la section « Utilisé par ».

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Sécurité et analyse du code », cliquez sur le menu déroulant de la section « Utilisé par compteur » et choisissez un package.

Résolution des problèmes liés au graphe de dépendances

Si votre graphe de dépendances est vide, il peut y avoir un problème avec le fichier contenant vos dépendances. Vérifiez que le fichier est correctement mis en forme pour son type.

Si le fichier est correctement mis en forme, vérifiez sa taille. Le graphe de dépendances ignore les fichiers manifeste et de verrouillage individuels qui dépassent 1,5 Mo, sauf si vous êtes utilisateur GitHub Enterprise. Il traite par défaut jusqu’à 150 manifestes ou de fichiers verrouillés par référentiel. Vous pouvez donc fractionner les dépendances en fichiers plus petits dans les sous-répertoires du référentiel.

Si un fichier manifeste ou de verrouillage n’est pas traité, ses dépendances sont omises dans le graphique de dépendances et il est impossible d’y vérifier la présence de dépendances non sécurisées.

Pour aller plus loin