Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.

Configurando o grafo de dependência

Você pode permitir que os usuários identifiquem as dependências dos seus projetos habilitando o gráfico de dependências.

Sobre o gráfico de dependências

O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório e das dependências enviadas ao repositório usando a API Envio de dependência (beta). Para cada repositório, ele mostra:

  • As dependências, os ecossistemas e os pacotes do qual depende

  • Os dependentes, os repositórios e os pacotes que dependem dele

    Para cada dependência, você pode ver as informações de licença e a gravidade da vulnerabilidade. Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente pela gravidade da vulnerabilidade.

Para obter mais informações, confira "Sobre o gráfico de dependências".

Sobre a configuração do grafo de dependência

Para gerar um grafo de dependência, o GitHub Enterprise Cloud precisa ter acesso somente leitura ao manifesto de dependência e aos arquivos de bloqueio de um repositório. O gráfico de dependências é gerado automaticamente para todos os repositórios públicos e você pode optar por habilitá-lo para repositórios privados. Para saber mais sobre como exibir o grafo de dependência, confira "Explorar as dependências de um repositório".

Além disso, você pode usar a API de envio de dependência (beta) para enviar dependências do gerenciador de pacotes ou do ecossistema de sua escolha, mesmo que o ecossistema não tenha suporte no grafo de dependência para análise de arquivo de manifesto ou bloqueio. As dependências enviadas a um projeto por meio da API de envio de dependência (beta) mostrarão qual detector foi usado para o envio e quando elas foram enviadas. Para obter mais informações sobre a API de envio de dependência, confira "Como usar a API de envio de dependência".

Use a visão geral de segurança para encontrar um conjunto de repositórios e habilitar ou desabilitar o grafo de dependência para todos eles ao mesmo tempo. Para obter mais informações, confira "Como habilitar recursos de segurança para vários repositórios".

Habilitar e desabilitar o gráfico de dependências para um repositório privado

Os administradores de repositórios podem habilitar ou desabilitar o gráfico de dependências em repositórios privados.

Você também pode habilitar ou desabilitar o gráfico de dependências para todos os repositórios pertencentes à sua conta de usuário ou organização. Para obter mais informações, confira "Configurando o grafo de dependência".

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia suspensa "Configurações", selecione o menu suspenso e clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja escuro.

  2. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  3. Leia a mensagem sobre a permissão de acesso somente leitura do GitHub Enterprise Cloud aos dados do repositório para habilitar o grafo de dependência e, ao lado de "Grafo de Dependência", clique em Habilitar.

    Captura de tela que mostra como habilitar o grafo de dependência para um repositório. O botão "Habilitar" é realçado com um contorno laranja escuro.

    Desabilite o grafo de dependência a qualquer momento clicando em Desabilitar ao lado de "Grafo de Dependência" na página de configurações de "Análise e segurança do código".

Talvez você não consiga habilitar ou desabilitar o grafo de dependência se um proprietário corporativo tiver definido uma política no nível empresarial. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".

Quando o gráfico de dependências é ativado pela primeira vez, todos manifesto e arquivos de bloqueio para ecossistemas suportados são analisados imediatamente. O gráfico geralmente é preenchido em minutos, mas isso pode levar mais tempo para repositórios com muitas dependências. Depois de habilitado, o gráfico é atualizado automaticamente a cada push no repositório e a cada push para outros repositórios no grafo.

Leitura adicional