Skip to main content

Explorar as dependências de um repositório

Você pode usar o grafo de dependência para ver os pacotes dos quais o projeto depende e os repositórios que dependem dele. Além disso, você pode ver todas as vulnerabilidades detectadas nas suas dependências.

Viewing the dependency graph

O grafo de dependência mostra as dependências e os dependentes do repositório. Para obter informações sobre a detecção de dependências e os ecossistemas com suporte, confira "Sobre o grafo de dependência".

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Insights. Guia Insights na barra de navegação do repositório principal 3. Na barra lateral esquerda, clique em Grafo de dependência. Aba do grafo de dependência na barra lateral esquerda
  2. Opcionalmente, em "Grafo de dependência", clique em Dependentes. Guia Dependentes na página do grafo de dependência

Vista de dependências

As dependências são agrupadas por ecossistema. Você pode expandir sua dependência para visualizar suas dependências. Dependências de repositórios privados, pacotes privados ou arquivos não reconhecidos são exibidos em texto sem formatação. Se o gerenciador de pacotes para a dependência estiver em um repositório público, GitHub irá exibir um link para o repositório.

As dependências enviadas a um projeto usando a API Envio de dependência (beta), embora também sejam agrupadas por ecossistema, são mostradas separadamente das dependências identificadas por meio de arquivos de manifesto ou de bloqueio no repositório. Essas dependências enviadas aparecem no grafo de dependência como "Dependências de instantâneo" porque são enviadas como um instantâneo ou um conjunto de dependências. Para obter mais informações sobre a API Envio de dependência, confira "Como usar a API Envio de dependência".

Se foram detectadas vulnerabilidades no repositório, estas são exibidas na parte superior da visualização para usuários com acesso ao Dependabot alerts.

Gráfico de dependências

Vista de dependentes

Para repositórios públicos, a vista de dependentes mostra como o repositório é usado por outros repositórios. Para mostrar apenas os repositórios que contêm uma biblioteca em um gerenciador de pacotes, clique em NUMBER Pacotes logo acima da lista de repositórios dependentes. A quantidade de dependentes é aproximada e pode nem sempre corresponder aos dependentes listados.

gráfico de dependentes

Habilitar e desabilitar o gráfico de dependências para um repositório privado

Repository administrators can enable or disable the dependency graph for private repositories.

You can also enable or disable the dependency graph for all repositories owned by your user account or organization. For more information, see "Configuring the dependency graph."

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Botão Configurações do repositório

  3. In the "Security" section of the sidebar, click Code security and analysis.

  4. Read the message about granting GitHub read-only access to the repository data to enable the dependency graph, then next to "Dependency Graph", click Enable. "Enable" button for the dependency graph You can disable the dependency graph at any time by clicking Disable next to "Dependency Graph" on the settings page for "Code security and analysis."

Alterar o pacote "Usado por"

Você poderá observar que alguns repositórios têm uma seção "Usado por" na barra lateral da guia Código. Seu repositório terá uma seção "Usado por" se:

  • O gráfico de dependências está habilitado para o repositório (consulte a seção acima para mais detalhes).
  • Ele contiver um pacote publicado em um ecossistema de pacotes compatível.
  • Dentro dele, o pacote tiver um link para um repositório público em que o código-fonte é armazenado.

A seção "Usado por" mostra o número de referências públicas ao pacote que foi encontrado, e exibe os avatares de alguns dos proprietários dos projetos dependentes.

Seção da barra lateral "Usado por"

Se você clicar em qualquer item dessa seção, será levado para a guia Dependentes do grafo de dependência.

A seção "Usado por" representa um único pacote do repositório. Se você tiver permissões de administrador em um repositório que contém vários pacotes, você poderá escolher qual pacote a seção "Usado por" representa.

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Configurações. Botão Configurações do repositório

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. Em "Segurança e análise de código" clique no menu suspenso na seção "Usado pelo contador" e escolha um pacote. Escolher um pacote "Usado por"

Solução de problemas para o gráfico de dependências

Se seu gráfico de dependências estiver vazio, poderá haver um problema com o arquivo que contém suas dependências. Selecione o arquivo para garantir que ele esteja corretamente formatado para o tipo de arquivo.

Se o arquivo estiver formatado corretamente, verifique o tamanho dele. O grafo de dependência ignora os arquivos de manifesto e de bloqueio individuais com tamanho superior a 1,5 MB, a menos que você seja um usuário do GitHub Enterprise. Ele processa até 20 arquivos de manifesto ou de bloqueio por repositório por padrão; logo você pode dividir dependências em arquivos menores em subdiretórios do repositório.

Se um arquivo de manifesto ou de bloqueio não for processado, as dependências serão omitidas no grafo de dependência e não será possível verificar se há dependências não seguras.

Leitura adicional