Skip to main content

Configurando o grafo de dependência

Você pode permitir que os usuários identifiquem as dependências dos seus projetos habilitando o gráfico de dependências.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Sobre o gráfico de dependências

O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra:

  • As dependências, os ecossistemas e os pacotes do qual depende
  • Os dependentes, os repositórios e os pacotes que dependem dele

Para cada dependência, você pode ver as informações de licença e a gravidade da vulnerabilidade. Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente pela gravidade da vulnerabilidade.

Para saber mais, confira Sobre o gráfico de dependências.

Configurando o grafo de dependência

Para gerar um grafo de dependência, o GitHub precisa ter acesso somente leitura ao manifesto de dependência e aos arquivos de bloqueio de um repositório. O grafo de dependência é gerado automaticamente para todos os repositórios públicos, e você pode optar por ativá-lo para repositórios particulares . Para saber mais sobre como exibir o grafo de dependência, confira Explorar as dependências de um repositório.

Além disso, você pode usar a API de envio de dependência para enviar dependências do gerenciador de pacotes ou ecossistema de sua escolha, mesmo que o ecossistema não tenha suporte pelo grafo de dependência para análise de arquivos de manifesto ou de bloqueio. As dependências enviadas para um projeto ao usar a API de envio de dependência mostrarão qual detector foi utilizado para o envio e quando elas foram enviadas. Para obter mais informações sobre a API de envio de dependência, confira “Usar a API de envio de dependências”.

Habilitar e desabilitar o gráfico de dependências para um repositório privado

Os administradores de repositório podem habilitar ou desabilitar o gráfico de dependência para repositórios privados .

Você pode habilitar ou desabilitar o gráfico de dependências para todos os repositórios pertencentes à sua conta de usuário. Para obter mais informações, confira "Gerenciar as configurações de segurança e análise para a sua conta pessoal".

Você também pode habilitar o grafo de dependência para vários repositórios em uma organização ao mesmo tempo. Para obter mais informações, consulte "Como proteger sua organização."

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Code security.

  4. Leia a mensagem sobre a permissão de acesso somente leitura do GitHub aos dados do repositório para habilitar o grafo de dependência e, ao lado de "Grafo de Dependência", clique em Habilitar.

    Captura de tela que mostra como habilitar o grafo de dependência para um repositório. O botão "Habilitar" é realçado com um contorno laranja escuro.

    Você pode desabilitar o grafo de dependência a qualquer momento clicando em Desabilitar ao lado de "Grafo de Dependência" na página de configurações em "Segurança e análise de código".

Quando o gráfico de dependências é ativado pela primeira vez, todos manifesto e arquivos de bloqueio para ecossistemas suportados são analisados imediatamente. O gráfico geralmente é preenchido em minutos, mas isso pode levar mais tempo para repositórios com muitas dependências. Depois de habilitado, o gráfico é atualizado automaticamente a cada push no repositório e a cada push para outros repositórios no grafo.

Leitura adicional