Skip to main content

このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となりました: 2024-09-25. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

リポジトリの依存関係を調べる

依存関係グラフを使用すると、プロジェクトが依存しているパッケージを確認できます。 また、その依存関係で脆弱性が検出されると、それも表示されます。

この機能を使用できるユーザーについて

リポジトリ管理者、組織の所有者、リポジトリへの書き込みまたは保守アクセス権を持つユーザー

依存関係グラフの表示

依存関係グラフには、リポジトリの依存関係が表示されます。 依存関係の検出と、サポートされているエコシステムについては、「依存関係グラフでパッケージ エコシステムをサポート」をご覧ください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [分析情報] をクリックします。

    リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーでは、グラフ アイコンと [分析情報] というラベルが付いたタブが、濃いオレンジ色の枠線で囲まれています。

  3. 左側のサイドバーで、 [Dependency graph] (依存関係グラフ) をクリックします。

    [依存関係グラフ] タブのスクリーンショット。タブはオレンジ色の枠線で強調されています。

Enterprise 所有者は、Enterprise レベルで依存関係グラフを構成することができます。 詳しくは、「企業の依存関係グラフの有効化」をご覧ください。

依存関係ビュー

リポジトリのマニフェストまたはロック ファイルで指定されている直接および間接の依存関係は、、リストで表示されます。

依存関係送信 API を使ってプロジェクトに送信された依存関係は、やはりエコシステムによってグループ化されますが、リポジトリ内のマニフェストまたはロック ファイルによって識別される依存関係とは別に表示されます。 これらの送信された依存関係は、依存関係のスナップショットまたはセットとして送信されるため、依存関係グラフに "スナップショット依存関係" として表示されます。依存関係送信 API の使い方について詳しくは、「Dependency Submission API を使用する」をご覧ください。

リポジトリで脆弱性が検出された場合、それらはDependabot alertsにアクセスできるユーザに、ビューの上部で表示されます。

Note

GitHub Enterprise Server では、[Dependents] ビューに情報が入力されません。

依存関係グラフのトラブルシューティング

依存関係グラフが空の場合は、依存関係を含むファイルに問題があるかもしれません。 ファイルがファイルタイプに合わせて適切にフォーマットされているかをチェックしてください。

マニフェストまたはロック ファイルが処理されない場合、その依存関係は依存関係グラフから省略され、安全でない依存関係はチェックされなくなります。

参考資料