Skip to main content

リポジトリの依存関係を調べる

依存関係グラフを使用すると、プロジェクトが依存しているパッケージと、そのプロジェクトに依存しているリポジトリを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。

依存関係グラフの表示

依存関係グラフには、リポジトリの依存関係と依存物が表示されます。 依存関係の検出とサポートされているエコシステムについては、「依存関係グラフについて」を参照してください。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Insights(インサイト)をクリックしてください。 リポジトリのナビゲーションバーのインサイトタブ
  3. 左のサイドバーでDependency graph(依存関係グラフ)をクリックしてください。 左のサイドバーの依存関係グラフタブ
  4. オプションとして、[Dependency graph] で [Dependents] をクリックします。 Dependents tab on the dependency graph page

依存関係ビュー

依存関係はエコシステム別にグループ化されます。 依存関係を拡張すると、その依存関係を表示できます。 プライベートリポジトリ、プライベートパッケージ、認識できないファイルの依存関係は、プレーンテキストで表示されます。 依存関係のパッケージマネージャがパブリックリポジトリ中にある場合、GitHubはそのリポジトリへのリンクを表示します。

Dependency submission API(ベータ)を使ってプロジェクトにサブミットされた依存関係は、エコシステムでグループ化されてはいますが、リポジトリのマニフェストあるいはロックファイルから特定された依存関係とは独立して表示されます。 サブミットされたこれらの依存関係は、依存関係のスナップショットあるいはセットとしてサブミットされることから、"Snapshot dependencies(スナップショット依存関係)"として依存関係グラフに表示されます。 Dependency submission APIの利用に関する詳しい情報については「Dependency submission APIの利用」を参照してください。

リポジトリで脆弱性が検出された場合、それらはDependabotアラートにアクセスできるユーザに、ビューの上部で表示されます。

依存関係グラフ

依存ビュー

パブリックリポジトリの場合、他のリポジトリによってどう使用されているかが、依存ビューに表示されます。 パッケージマネージャーにライブラリを含むリポジトリのみを表示するには、依存リポジトリのリストのすぐ上にある「NUMBER Packages」をクリックします。 依存の数は概数であり、リストされている依存と一致しないことがあります。

依存グラフ

プライベートリポジトリの依存関係グラフを有効化および無効化する

リポジトリ管理者は、プライベートリポジトリに対して依存関係グラフを有効または無効にすることができます。

ユーザアカウントまたは Organization が所有するすべてのリポジトリの依存関係グラフを有効または無効にすることもできます。 For more information, see "Configuring the dependency graph."

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Settings(設定)をクリックしてください。 リポジトリの設定ボタン

  3. In the "Security" section of the sidebar, click Code security and analysis.

  4. リポジトリ データへの読み取りアクセスを GitHub に許可して依存関係グラフを有効にすることに関するメッセージを読んだうえで、[Dependency Graph] の隣にある [Enable] をクリックします。 "Enable" button for the dependency graph You can disable the dependency graph at any time by clicking Disable next to "Dependency Graph" on the settings page for "Code security and analysis."

"Used by"パッケージの変更

リポジトリの中には、Codeタブのサイドバーに"Used by"セクションを持つものがあることに気づくかもしれません。 以下の場合、リポジトリは"Used by"を持ちます:

  • そのリポジトリで依存関係グラフが有効になっている(詳細については上のセクションを参照)。
  • リポジトリに、サポートされているパッケージエコシステムで公開されているパッケージが含まれている。
  • そのエコシステム内で、ソースが保存されているパブリックリポジトリへのリンクがパッケージ内にある。

"Used by"セクションは、見つかったパッケージに対する公開参照数を示し、依存物のプロジェクトのオーナーのアバターを表示します。

"Used by"サイドバーセクション

このセクション内のアイテムをクリックすると、依存関係グラフのDependents(依存物)タブに移動します。

"Used by"セクションは、リポジトリからの単一のパッケージを表します。 複数のパッケージを含むリポジトリへの管理者権限を持っているなら、"Used by"セクションがどのパッケージを表すのかを選択できます。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Settings(設定)をクリックしてください。 リポジトリの設定ボタン

  3. In the "Security" section of the sidebar, click Code security and analysis.

  4. "Code security and analysis(コードのセキュリティと分析)"の下で、"Used by counter"セクション内のドロップダウンメニューをクリックしてください。 "Used by"パッケージの選択

依存関係グラフのトラブルシューティング

依存関係グラフが空の場合は、依存関係を含むファイルに問題があるかもしれません。 ファイルがファイルタイプに合わせて適切にフォーマットされているかをチェックしてください。

ファイルのフォーマットが正しい場合は、大きさをチェックします。 あなたが GitHub Enterprise ユーザでない限り、依存関係グラフは 1.5 MB を超える個々のマニフェストおよびロックファイルを無視します。 デフォルトでは、最大 20 個のマニフェストまたはロックファイルが処理されるので、リポジトリのサブディレクトリで依存関係を小さいファイルに分割することができます。

マニフェストまたはロックファイルが処理されない場合、その依存関係は依存関係グラフから省略され、安全ではない依存関係はチェックされなくなります。

参考リンク