Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。

リポジトリの依存関係を調べる

この記事の内容

依存関係グラフを使用すると、プロジェクトが依存しているパッケージと、そのプロジェクトに依存しているリポジトリを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。

依存関係グラフの表示

依存関係グラフには、リポジトリの依存関係と依存物が表示されます。 依存関係の検出とサポートされているエコシステムの詳細については、「依存関係グラフについて」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [分析情報] をクリックします。 リポジトリのナビゲーション バーの [分析情報] タブ 3. 左側のサイドバーで、 [Dependency graph] (依存関係グラフ) をクリックします。 左のサイドバーの依存関係グラフのタブ
  2. 必要に応じて、[依存関係グラフ] で [依存関係] をクリックします。 [依存関係グラフ] ページの [依存関係] タブ

依存関係ビュー

依存関係はエコシステム別にグループ化されます。 依存関係を拡張すると、その依存関係を表示できます。 プライベートリポジトリ、プライベートパッケージ、認識できないファイルの依存関係は、プレーンテキストで表示されます。 依存関係のパッケージ マネージャーがパブリック リポジトリにある場合、GitHub にそのリポジトリへのリンクが表示されます。

依存関係の送信 API (ベータ) を使ってプロジェクトに送信された依存関係は、エコシステムによってもグループ化されますが、リポジトリ内のマニフェストまたはロック ファイルによって識別される依存関係とは別に表示されます。 これらの送信された依存関係は、依存関係のスナップショット (またはセット) として送信されるため、依存関係グラフに "スナップショット依存関係" として表示されます。 依存関係の送信 API の使用方法について詳しくは、「依存関係の送信 API の使用」を参照してください。

リポジトリで脆弱性が検出された場合、それらはDependabot alertsにアクセスできるユーザに、ビューの上部で表示されます。

依存関係グラフ

依存ビュー

パブリックリポジトリの場合、他のリポジトリによってどう使用されているかが、依存ビューに表示されます。 パッケージ マネージャーでライブラリを含むリポジトリのみを表示するには、依存リポジトリの一覧のすぐ上にある [NUMBER Packages](<数値> 個のパッケージ) をクリックします。 依存の数は概数であり、リストされている依存と一致しないことがあります。

依存グラフ

プライベートリポジトリの依存関係グラフを有効化および無効化する

リポジトリ管理者は、プライベートリポジトリに対して依存関係グラフを有効または無効にすることができます。

ユーザアカウントまたは Organization が所有するすべてのリポジトリの依存関係グラフを有効または無効にすることもできます。 詳細については、「依存関係グラフの構成」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン

  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  3. リポジトリ データへの読み取りアクセスを GitHub に許可して依存関係グラフを有効にすることに関するメッセージを読んだうえで、[依存関係グラフ] の隣にある [有効] をクリックします。 依存関係グラフの [有効] ボタン [コードのセキュリティと分析] の設定ページで、[依存関係グラフ] の横にある [無効] をクリックすることで、いつでも依存関係グラフを無効にできます。

"Used by"パッケージの変更

リポジトリによっては、 [コード] タブのサイドバーに "Used by" セクションが表示されることがあります。リポジトリに "Used by" セクションがあるのは、次のような場合です。

  • リポジトリに対して依存関係グラフが有効になっています (詳細については、上記のセクションを参照してください)。
  • リポジトリには、サポートされているパッケージ エコシステムで発行されるパッケージが含まれています。
  • エコシステム内では、ソースが格納されている パブリック リポジトリへのリンクがパッケージに含まれています。

"Used by"セクションは、見つかったパッケージに対する公開参照数を示し、依存物のプロジェクトのオーナーのアバターを表示します。

"Used by" サイドバー セクション

このセクション内のアイテムをクリックすると、依存関係グラフの [依存] タブに移動します。

"Used by"セクションは、リポジトリからの単一のパッケージを表します。 複数のパッケージを含むリポジトリへの管理者権限を持っているなら、"Used by"セクションがどのパッケージを表すのかを選択できます。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン

  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  3. [コードのセキュリティと分析] で、"Used by counter" セクション内のドロップダウン メニューをクリックし、パッケージを選びます。 "Used by" パッケージを選ぶ

依存関係グラフのトラブルシューティング

依存関係グラフが空の場合は、依存関係を含むファイルに問題があるかもしれません。 ファイルがファイルタイプに合わせて適切にフォーマットされているかをチェックしてください。

ファイルのフォーマットが正しい場合は、大きさをチェックします。 GitHub Enterprise ユーザでない限り、依存関係グラフは 1.5 MB を超える個々のマニフェストおよびロック ファイルを無視します。 デフォルトでは、最大 20 個のマニフェストまたはロックファイルが処理されるので、リポジトリのサブディレクトリで依存関係を小さいファイルに分割することができます。

マニフェストまたはロック ファイルが処理されない場合、その依存関係は依存関係グラフから省略され、安全でない依存関係はチェックされなくなります。

参考資料