Viewing the dependency graph
O grafo de dependência mostra as dependências e os dependentes do repositório. Para cada dependência, você pode ver as informações de licença e a gravidade da vulnerabilidade. Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente pela gravidade da vulnerabilidade. Para obter informações sobre a detecção de dependências e os ecossistemas com suporte, confira Ecossistemas de pacotes com suporte para grafos de dependência.
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Insights.
-
Na barra lateral esquerda, clique em Grafo de dependência.
-
Opcionalmente, use a barra de pesquisa para localizar uma dependência específica ou um conjunto de dependências.
Note
A barra de pesquisa só faz a pesquisa com base no nome do pacote.
-
Opcionalmente, para ver os repositórios e os pacotes que dependem do repositório, em "Grafo de dependência", clique em Dependentes.
Note
O GitHub atualmente determina apenas dependentes para repositórios públicos.
Vista de dependências
Para cada dependência, você pode ver o respectivo ecossistema, o arquivo de manifesto no qual ele foi encontrado e a licença (quando detectado). Dependências de repositórios privados, pacotes privados ou arquivos não reconhecidos são exibidos em texto sem formatação. Se o gerenciador de pacotes da dependência estiver em um repositório público, posicione o cursor sobre o nome da dependência para ver um pop-up com as informações do repositório associado.
As dependências enviadas a um projeto ao usar a API de envio de dependência exibirão qual detector foi utilizado para o envio e a data do envio. Para obter mais informações sobre o uso de API de envio de dependência, consulte Usar a API de envio de dependências.
Se foram detectadas vulnerabilidades no repositório, estas são exibidas na parte superior da visualização para usuários com acesso ao Dependabot alerts.
Vista de dependentes
Para repositórios públicos, a vista de dependentes mostra como o repositório é usado por outros repositórios. Para mostrar apenas os repositórios que contêm uma biblioteca em um gerenciador de pacotes, clique em NUMBER Pacotes logo acima da lista de repositórios dependentes. A quantidade de dependentes é aproximada e pode nem sempre corresponder aos dependentes listados.
Habilitar e desabilitar o gráfico de dependências para um repositório privado
Os administradores de repositório podem habilitar ou desabilitar o gráfico de dependência para repositórios privados ou internos.
Você pode habilitar ou desabilitar o gráfico de dependências para todos os repositórios pertencentes à sua conta de usuário. Para obter mais informações, confira "Gerenciar as configurações de segurança e análise para a sua conta pessoal".
Você também pode habilitar o grafo de dependência para vários repositórios em uma organização ao mesmo tempo. Para obter mais informações, consulte "Como proteger sua organização."
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security.
-
Leia a mensagem sobre a permissão de acesso somente leitura do GitHub Enterprise Cloud aos dados do repositório para habilitar o grafo de dependência e, ao lado de "Grafo de Dependência", clique em Habilitar.
Você pode desabilitar o grafo de dependência a qualquer momento clicando em Desabilitar ao lado de "Grafo de Dependência" na página de configurações em "Segurança e análise de código".
Alterar o pacote "Usado por"
Você poderá observar que alguns repositórios têm uma seção "Usado por" na barra lateral da guia Código. Seu repositório terá uma seção "Usado por" se:
- O gráfico de dependências está habilitado para o repositório (consulte a seção acima para mais detalhes).
- Ele contiver um pacote publicado em um ecossistema de pacotes compatível.
- Dentro dele, o pacote tiver um link para um repositório público em que o código-fonte é armazenado.
- Mais de 100 repositórios dependem do seu pacote.
A seção "Usado por" mostra o número de referências públicas ao pacote que foi encontrado, e exibe os avatares de alguns dos proprietários dos projetos dependentes.
Se você clicar em qualquer item dessa seção, será levado para a guia Dependentes do grafo de dependência.
A seção "Usado por" representa um único pacote do repositório. Se você tiver permissões de administrador em um repositório que contém vários pacotes, você poderá escolher qual pacote a seção "Usado por" representa.
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security.
-
Em "Segurança e análise de código" clique no menu suspenso na seção "Usado pelo contador" e escolha um pacote.
Solução de problemas para o gráfico de dependências
Se seu gráfico de dependências estiver vazio, poderá haver um problema com o arquivo que contém suas dependências. Selecione o arquivo para garantir que ele esteja corretamente formatado para o tipo de arquivo.
Se o arquivo estiver formatado corretamente, verifique o tamanho dele. O grafo de dependência ignora os arquivos de manifesto e de bloqueio individuais com tamanho superior a 1,5 MB, a menos que você seja um usuário do GitHub Enterprise. Ele processa até 150 arquivos de manifesto ou de bloqueio por repositório por padrão; portanto, você pode dividir dependências em arquivos menores em subdiretórios do repositório.
Se um arquivo de manifesto ou de bloqueio não for processado, as dependências serão omitidas no grafo de dependência e não será possível verificar se há dependências não seguras.