Sobre o gráfico de dependências
O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra:
- As dependências, os ecossistemas e os pacotes do qual depende
- Os dependentes, os repositórios e os pacotes que dependem dele
Para cada dependência, você pode ver a versão, informações da licença, o arquivo de manifesto que a incluiu e se ela tem vulnerabilidades conhecidas. Para ecossistemas de pacotes que dão suporte a dependências transitivas, o status da relação será exibido e você poderá clicar em "", e em seguida em "Show paths" para ver o caminho transitivo que trouxe a dependência.
Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente com os pacotes vulneráveis na parte superior.
Para saber mais, confira Sobre o gráfico de dependências.
Configurando o grafo de dependência
Para gerar um grafo de dependência, o GitHub precisa ter acesso somente leitura ao manifesto de dependência e aos arquivos de bloqueio de um repositório. O grafo de dependência é gerado automaticamente para todos os repositórios públicos, e você pode optar por ativá-lo para repositórios privados e forks públicos. Para saber mais sobre como exibir o grafo de dependência, confira Explorar as dependências de um repositório.
Além disso, você pode usar a API de envio de dependência para enviar dependências do gerenciador de pacotes ou ecossistema de sua escolha, mesmo que o ecossistema não tenha suporte pelo grafo de dependência para análise de arquivos de manifesto ou de bloqueio. Dependências enviadas para um projeto usando a API de envio de dependência mostrarão qual detector foi usado para seu envio e quando elas foram enviadas. Para saber mais sobre o API de envio de dependência, confira Usar a API de envio de dependências.
Caixa de seleção para desabilitar o grafo de dependência
Os administradores de repositório podem habilitar ou desabilitar o grafo de dependência para repositórios privados ou forks públicos.
Você pode habilitar ou desabilitar o gráfico de dependências para todos os repositórios pertencentes à sua conta de usuário. Para saber mais, confira Gerenciar as configurações de segurança e análise para a sua conta pessoal.
Você também pode habilitar o grafo de dependência para vários repositórios em uma organização ao mesmo tempo. Para obter mais informações, confira Como proteger sua organização.
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Advanced Security.
-
Leia a mensagem sobre a permissão de acesso somente leitura do GitHub aos dados do repositório para habilitar o grafo de dependência e, ao lado de "Dependency Graph", clique em Enable.
Você pode desabilitar o grafo de dependência a qualquer momento clicando em Disable ao lado de "Dependency Graph" na página de configuração do "Advanced Security".
Quando o gráfico de dependências é ativado pela primeira vez, todos manifesto e arquivos de bloqueio para ecossistemas suportados são analisados imediatamente. O gráfico geralmente é preenchido em minutos, mas isso pode levar mais tempo para repositórios com muitas dependências. Depois de habilitado, o gráfico é atualizado automaticamente a cada push no repositório e a cada push para outros repositórios no grafo.