依存関係グラフについて
依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイル、および 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:
- リポジトリが依存している依存関係、エコシステム、パッケージ
- 依存、依存するリポジトリ、パッケージ
依存関係ごとに、バージョン、ライセンス情報、それを含むマニフェスト ファイル、既知の脆弱性があるかどうかを確認できます。 推移的な依存関係をサポートするパッケージ エコシステムの場合、リレーションシップ状態が表示され、開示ボタン ([...]) を選ぶと、依存関係を生じさせた推移的なパスが表示されます。 推移的な依存関係のサポートの詳細については、「依存関係グラフでパッケージ エコシステムをサポート」を参照してください。
検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は自動的に並べ替えられ、脆弱性が一番上に表示されます。
詳しくは、「依存関係グラフについて」をご覧ください。
依存関係グラフを設定する
依存関係グラフを生成するには、依存関係マニフェストとリポジトリのロック ファイルへの読み取り専用アクセス権が GitHub に必要です。 依存関係グラフはすべてのパブリック リポジトリに対して自動的に生成され、プライベートおよび内部リポジトリとパブリック フォークに対して有効にすることができます。 依存関係グラフの表示について詳しくは、「リポジトリの依存関係を調べる」をご覧ください。
さらに、依存関係送信 API を使用して、マニフェストやロック ファイルの分析で依存関係グラフがサポートされていないエコシステムであっても、任意のパッケージ マネージャーやエコシステムから依存関係を送信することができます。 依存関係送信 API を使ってプロジェクトに送信された依存関係には、提出にどの検出機能が使われたか、いつ送信されたかが表示されます。 依存関係送信 API について詳しくは、「Dependency Submission API を使用する」をご覧ください。
依存関係グラフの有効化と無効化
リポジトリ管理者は、プライベートまたは内部リポジトリ、またはパブリック フォークの依存関係グラフを有効または無効にすることができます。
ユーザーアカウントが所有するすべてのリポジトリの依存関係グラフを有効または無効にすることができます。 詳しくは、「個人アカウントのセキュリティと分析設定を管理する」をご覧ください。
組織内の複数のリポジトリに対して同時に依存関係グラフを有効にすることもできます。 詳細については、「組織のセキュリティ」を参照してください。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/images/help/repository/repo-actions-settings.png)
-
サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。
-
依存関係グラフを有効にするにはリポジトリ データへの読み取りアクセスを GitHub に許可することに関するメッセージを読み、[Dependency Graph] の隣にある [Enable] をクリックします。
[Advanced Security] の設定ページで、[Dependency Graph] の横にある [Disable] をクリックして、いつでも依存関係グラフを無効にできます。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/mw-1440/images/help/repository/repo-actions-settings.webp)
依存関係グラフを初めて有効化すると、サポートされているエコシステムのマニフェストおよびロックファイルがすぐに解析されます。 グラフは通常数分以内に入力されますが、多くの依存関係を持つリポジトリの場合は時間がかかる場合があります。 有効にすると、リポジトリにプッシュするたびに、またグラフ中の他のリポジトリにプッシュするたびに、グラフが自動的に更新されます。