リポジトリの依存関係を調べる

依存関係グラフを使用すると、プロジェクトが依存しているパッケージと、そのプロジェクトに依存しているリポジトリを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。

この機能を使用できるユーザーについて

リポジトリ管理者、組織の所有者、リポジトリへの書き込みまたは保守アクセス権を持つユーザー

この記事の内容

依存関係グラフの表示

依存関係グラフには、リポジトリの依存関係と依存物が表示されます。 依存関係ごとに、バージョン、ライセンス情報、それを含むマニフェスト ファイル、既知の脆弱性があるかどうかを確認できます。 推移的な依存関係をサポートするパッケージ エコシステムの場合、リレーションシップの状態が表示され、[] をクリックしてから [Show paths] をクリックすると、その依存関係の基になっている推移パスを確認できます。

検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱なパッケージが先頭になるように自動的に並べ替えられます。 依存関係の検出とサポートされるエコシステムについては、「依存関係グラフでパッケージ エコシステムをサポート」を参照してください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [分析情報] をクリックします。

    リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーの、グラフ アイコンと [Insights] というラベルが付いたタブが、オレンジ色の枠線で囲まれています。

  3. 左側のサイドバーで、 [Dependency graph] (依存関係グラフ) をクリックします。

    [依存関係グラフ] タブのスクリーンショット。タブはオレンジ色の枠線で強調されています。

  4. 必要に応じて、検索バーを使って、特定の依存関係または一連の依存関係を検索します。 キーワード ecosystem: を使って特定の種類のパッケージのみを表示することや、relationship: を使って直接または推移的な依存関係のみを表示することができます (エコシステムが推移性をサポートしている場合)。 検索バーに単純な単語を入力すると、パッケージ名のみが一致します。

  5. 必要に応じて、リポジトリとリポジトリに依存するパッケージを表示するには、[依存関係グラフ] の下にある [依存] をクリックします。

    [依存関係グラフ] ページのスクリーンショット。 [依存] タブがオレンジ色の枠線で強調表示されています。

    メモ

    GitHub は現在、パブリック リポジトリの依存のみを決定します。

依存関係ビュー

各依存関係について、そのエコシステム、それが見つかったマニフェスト ファイル、ライセンス (検出された場合) を確認できます。

  • プライベート リポジトリ、プライベート パッケージ、または認識できないファイルの依存関係が、プレーンテキストで表示されます。

  • 依存関係のパッケージ マネージャーがパブリック リポジトリにある場合は、依存関係名をポイントして、関連付けられているリポジトリ情報を含むポップアップを表示できます。

  • 検索バーにフィルターを key:value ペアとして入力することで、依存関係を並べ替えたりフィルター処理したりすることができます。

    • 選んだエコシステムの依存関係を表示するには、ecosystem: <ecosystem-name> を使います。
    • relationship: を使って、リレーションシップの状態で一覧をフィルター処理します。 指定できる値は、directtransitiveinconclusive です。 または、依存関係名の横にあるリレーションシップ ラベルをクリックして、リレーションシップ状態が同じ依存関係のみを表示することもできます。 このフィルターは、推移的な依存関係をサポートするエコシステムでのみ使用できます。 詳細については、「依存関係グラフでパッケージ エコシステムをサポート」を参照してください。

依存関係送信 API を使ってプロジェクトに送信された依存関係には、提出にどの検出機能が使われたか、いつ送信されたかが表示されます。 依存関係送信 API の使用方法の詳細については、「Dependency Submission API を使用する」を参照してください。

リポジトリで脆弱性が検出された場合、それらはDependabot alertsにアクセスできるユーザに、ビューの上部で表示されます。

依存ビュー

パブリックリポジトリの場合、他のリポジトリによってどう使用されているかが、依存ビューに表示されます。 パッケージ マネージャーでライブラリを含むリポジトリのみを表示するには、依存リポジトリの一覧のすぐ上にある [NUMBER Packages](<数値> 個のパッケージ) をクリックします。 依存の数は概数であり、リストされている依存と一致しないことがあります。

依存関係グラフの有効化と無効化

リポジトリ管理者は、プライベートリポジトリ、またはパブリック フォークの依存関係グラフを有効または無効にすることができます。

ユーザーアカウントが所有するすべてのリポジトリの依存関係グラフを有効または無効にすることができます。 詳しくは、「個人アカウントのセキュリティと分析設定を管理する」をご覧ください。

組織内の複数のリポジトリに対して同時に依存関係グラフを有効にすることもできます。 詳細については、「組織のセキュリティ」を参照してください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. 依存関係グラフを有効にするにはリポジトリ データへの読み取りアクセスを GitHub に許可することに関するメッセージを読み、[Dependency Graph] の隣にある [Enable] をクリックします。

    [Advanced Security] の設定ページで、[Dependency Graph] の横にある [Disable] をクリックして、いつでも依存関係グラフを無効にできます。

"Used by"パッケージの変更

リポジトリによっては、 [コード] タブのサイドバーに "Used by" セクションが表示されることがあります。リポジトリに "Used by" セクションがあるのは、次のような場合です。

  • リポジトリに対して依存関係グラフが有効になっています (詳細については、上記のセクションを参照してください)。
  • リポジトリには、サポートされているパッケージ エコシステムで発行されるパッケージが含まれています。
  • エコシステム内では、ソースが格納されている パブリック リポジトリへのリンクがパッケージに含まれています。
  • 100 を超えるリポジトリは、パッケージによって異なります。

"Used by"セクションは、見つかったパッケージに対する公開参照数を示し、依存物のプロジェクトのオーナーのアバターを表示します。

"13.4m" の要約と、8 つのアバターと "+13,435,819" の詳細を示すリポジトリの [Used by] セクションのスクリーンショット。

このセクション内のアイテムをクリックすると、依存関係グラフの [依存] タブに移動します。

"Used by"セクションは、リポジトリからの単一のパッケージを表します。 複数のパッケージを含むリポジトリへの管理者権限を持っているなら、"Used by"セクションがどのパッケージを表すのかを選択できます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. [Advanced Security] で、[Used by counter] セクションのドロップダウン メニューをクリックし、パッケージを選びます。

参考資料