Skip to main content

リポジトリの依存関係を調べる

依存関係グラフを使用すると、プロジェクトが依存しているパッケージと、そのプロジェクトに依存しているリポジトリを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。

依存関係グラフの表示

依存関係グラフには、リポジトリの依存関係と依存物が表示されます。 依存関係の検出とサポートされているエコシステムの詳細については、「依存関係グラフについて」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [分析情報] をクリックします。 リポジトリのナビゲーション バーの [分析情報] タブ 3. 左側のサイドバーで、 [Dependency graph] (依存関係グラフ) をクリックします。 左のサイドバーの依存関係グラフのタブ
  2. 必要に応じて、[依存関係グラフ] で [依存関係] をクリックします。 [依存関係グラフ] ページの [依存関係] タブ

依存関係ビュー

依存関係はエコシステム別にグループ化されます。 依存関係を拡張すると、その依存関係を表示できます。 プライベートリポジトリ、プライベートパッケージ、認識できないファイルの依存関係は、プレーンテキストで表示されます。 依存関係のパッケージ マネージャーがパブリック リポジトリにある場合、GitHub Enterprise Cloud にそのリポジトリへのリンクが表示されます。

依存関係の送信 API (ベータ) を使ってプロジェクトに送信された依存関係は、エコシステムによってもグループ化されますが、リポジトリ内のマニフェストまたはロック ファイルによって識別される依存関係とは別に表示されます。 これらの送信された依存関係は、依存関係のスナップショット (またはセット) として送信されるため、依存関係グラフに "スナップショット依存関係" として表示されます。 依存関係の送信 API の使用方法について詳しくは、「依存関係の送信 API の使用」を参照してください。

リポジトリで脆弱性が検出された場合、それらはDependabot alertsにアクセスできるユーザに、ビューの上部で表示されます。

依存関係グラフ

依存ビュー

パブリックリポジトリの場合、他のリポジトリによってどう使用されているかが、依存ビューに表示されます。 パッケージ マネージャーでライブラリを含むリポジトリのみを表示するには、依存リポジトリの一覧のすぐ上にある [NUMBER Packages](<数値> 個のパッケージ) をクリックします。 依存の数は概数であり、リストされている依存と一致しないことがあります。

依存グラフ

プライベートリポジトリの依存関係グラフを有効化および無効化する

Repository administrators can enable or disable the dependency graph for private repositories.

You can also enable or disable the dependency graph for all repositories owned by your user account or organization. For more information, see "Configuring the dependency graph."

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン

  3. In the "Security" section of the sidebar, click Code security and analysis.

  4. Read the message about granting GitHub Enterprise Cloud read-only access to the repository data to enable the dependency graph, then next to "Dependency Graph", click Enable. "Enable" button for the dependency graph You can disable the dependency graph at any time by clicking Disable next to "Dependency Graph" on the settings page for "Code security and analysis."

"Used by"パッケージの変更

リポジトリによっては、 [コード] タブのサイドバーに "Used by" セクションが表示されることがあります。リポジトリに "Used by" セクションがあるのは、次のような場合です。

  • リポジトリに対して依存関係グラフが有効になっています (詳細については、上記のセクションを参照してください)。
  • リポジトリには、サポートされているパッケージ エコシステムで発行されるパッケージが含まれています。
  • エコシステム内では、ソースが格納されている パブリック リポジトリへのリンクがパッケージに含まれています。

"Used by"セクションは、見つかったパッケージに対する公開参照数を示し、依存物のプロジェクトのオーナーのアバターを表示します。

"Used by" サイドバー セクション

このセクション内のアイテムをクリックすると、依存関係グラフの [依存] タブに移動します。

"Used by"セクションは、リポジトリからの単一のパッケージを表します。 複数のパッケージを含むリポジトリへの管理者権限を持っているなら、"Used by"セクションがどのパッケージを表すのかを選択できます。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. [コードのセキュリティと分析] で、"Used by counter" セクション内のドロップダウン メニューをクリックし、パッケージを選びます。 "Used by" パッケージを選ぶ

依存関係グラフのトラブルシューティング

依存関係グラフが空の場合は、依存関係を含むファイルに問題があるかもしれません。 ファイルがファイルタイプに合わせて適切にフォーマットされているかをチェックしてください。

ファイルのフォーマットが正しい場合は、大きさをチェックします。 GitHub Enterprise ユーザでない限り、依存関係グラフは 1.5 MB を超える個々のマニフェストおよびロック ファイルを無視します。 デフォルトでは、最大 20 個のマニフェストまたはロックファイルが処理されるので、リポジトリのサブディレクトリで依存関係を小さいファイルに分割することができます。

マニフェストまたはロック ファイルが処理されない場合、その依存関係は依存関係グラフから省略され、安全でない依存関係はチェックされなくなります。

参考資料