Skip to main content

Configurando o grafo de dependência

Você pode permitir que os usuários identifiquem as dependências dos seus projetos habilitando o gráfico de dependências.

Sobre o gráfico de dependências

O gráfico de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório e quaisquer dependências enviadas para o repositório usando API de envio de dependência (beta). Para cada repositório, ele mostra:

  • As dependências, os ecossistemas e os pacotes do qual depende
  • Os dependentes, os repositórios e os pacotes que dependem dele

Para cada dependência, você pode ver as informações de licença e a gravidade da vulnerabilidade. Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente pela gravidade da vulnerabilidade.

Para obter mais informações, confira "Sobre o gráfico de dependências".

Sobre a configuração do grafo de dependência

Para gerar um grafo de dependência, o GitHub precisa ter acesso somente leitura ao manifesto de dependência e aos arquivos de bloqueio de um repositório. O grafo de dependência é gerado automaticamente para todos os repositórios públicos, e você pode optar por ativá-lo para repositórios particulares . Para saber mais sobre como exibir o grafo de dependência, confira "Explorar as dependências de um repositório".

Além disso, você pode usar API de envio de dependência (beta) para enviar dependências do gerenciador de pacotes ou ecossistema de sua escolha, mesmo que o ecossistema não tenha suporte no grafo de dependência para análise de arquivo de manifesto ou bloqueio. Dependências enviadas para um projeto usando API de envio de dependência (beta) mostrarão qual detector foi usado para seu envio e quando foram enviadas. Para obter mais informações sobre API de envio de dependência, consulte "Usar a API de envio de dependências."

Habilitar e desabilitar o gráfico de dependências para um repositório privado

Os administradores de repositório podem habilitar ou desabilitar o gráfico de dependência para repositórios privados .

Você pode habilitar ou desabilitar o gráfico de dependências para todos os repositórios pertencentes à sua conta de usuário. Para obter mais informações, confira "Gerenciar as configurações de segurança e análise para a sua conta pessoal".

Você também pode habilitar o grafo de dependência para vários repositórios em uma organização ao mesmo tempo. Para obter mais informações, confira "Como proteger sua organização".

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Leia a mensagem sobre a permissão de acesso somente leitura do GitHub aos dados do repositório para habilitar o grafo de dependência e, ao lado de "Grafo de Dependência", clique em Habilitar.

    Captura de tela que mostra como habilitar o grafo de dependência para um repositório. O botão "Habilitar" é realçado com um contorno laranja escuro.

    Você pode desabilitar o grafo de dependência a qualquer momento clicando em Desabilitar ao lado de "Grafo de Dependência" na página de configurações em "Segurança e análise de código".

Quando o gráfico de dependências é ativado pela primeira vez, todos manifesto e arquivos de bloqueio para ecossistemas suportados são analisados imediatamente. O gráfico geralmente é preenchido em minutos, mas isso pode levar mais tempo para repositórios com muitas dependências. Depois de habilitado, o gráfico é atualizado automaticamente a cada push no repositório e a cada push para outros repositórios no grafo.

Leitura adicional