Explorar as dependências de um repositório

Você pode usar o grafo de dependência para ver os pacotes dos quais o projeto depende e os repositórios que dependem dele. Além disso, você pode ver todas as vulnerabilidades detectadas nas suas dependências.

Quem pode usar esse recurso?

Administradores de repositório, proprietários de organizações e pessoas com acesso de gravação ou manutenção a um repositório

Neste artigo

Viewing the dependency graph

O grafo de dependência mostra as dependências e os dependentes do repositório. Para cada dependência, você pode ver a versão, informações da licença, o arquivo de manifesto que a incluiu e se ela tem vulnerabilidades conhecidas. Para ecossistemas de pacotes que dão suporte a dependências transitivas, o status da relação será exibido e o botão de exibição ... mostrará o caminho transitivo que trouxe a dependência. Para saber mais sobre os ecossistemas a dependências transitivas, confira Ecossistemas de pacotes com suporte para grafos de dependência.

Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente com as vulnerabilidades na parte superior. Para obter informações sobre a detecção de dependências e quais ecossistemas têm suporte, consulte Ecossistemas de pacotes com suporte para grafos de dependência.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Insights.

    Captura de tela da página principal de um repositório. Na barra de navegação horizontal, uma guia, rotulada com um ícone de grafo e "Insights", está contornada em laranja.

  3. Na barra lateral esquerda, clique em Grafo de dependência.

    Captura de tela da guia "Grafo de dependência". A guia está realçada com um contorno laranja.

  4. Opcionalmente, use a barra de pesquisa para localizar uma dependência específica ou um conjunto de dependências. Você pode usar as palavras-chave ecosystem: para mostrar apenas pacotes de um determinado tipo, ou relationship: para mostrar apenas dependências diretas ou transitivas (se o ecossistema der suporte à transitividade). Palavras simples na barra de pesquisa corresponderão apenas aos nomes de pacote.

  5. Opcionalmente, para ver os repositórios e os pacotes que dependem do repositório, em "Grafo de dependência", clique em Dependentes.

    Captura de tela da página "Grafo de dependência". A guia "Dependentes" está realçada com um contorno laranja.

    Note

    O GitHub atualmente determina apenas dependentes para repositórios públicos.

Vista de dependências

Para cada dependência, você pode ver o respectivo ecossistema, o arquivo de manifesto no qual ele foi encontrado e a licença (quando detectado).

  • As dependências de repositórios privados, pacotes privados ou arquivos não reconhecidos são exibidos em texto sem formatação.

  • Se o gerenciador de pacotes da dependência estiver em um repositório público, posicione o cursor sobre o nome da dependência para ver um pop-up com as informações do repositório associado.

  • Você pode classificar e filtrar dependências digitando filtros como pares key:value na barra de pesquisa.

    • Use ecosystem: <ecosystem-name> para exibir dependências para o ecossistema selecionado.
    • Use relationship: para filtrar a lista por status de relação. Os valores possíveis são direct, transitive e inconclusive. Como alternativa, você pode clicar no rótulo de relação adjacente a um nome de dependência para mostrar apenas dependências do mesmo status de relação. Esse filtro está disponível apenas para ecossistemas com suporte de dependência transitivo. Confira Ecossistemas de pacotes com suporte para grafos de dependência para saber mais.

Dependências enviadas para um projeto usando a API de envio de dependência mostrarão qual detector foi usado para seu envio e quando elas foram enviadas. Para saber mais sobre o uso da API de envio de dependência, confira Usar a API de envio de dependências.

Se foram detectadas vulnerabilidades no repositório, estas são exibidas na parte superior da visualização para usuários com acesso ao Dependabot alerts.

Vista de dependentes

Para repositórios públicos, a vista de dependentes mostra como o repositório é usado por outros repositórios. Para mostrar apenas os repositórios que contêm uma biblioteca em um gerenciador de pacotes, clique em NUMBER Pacotes logo acima da lista de repositórios dependentes. A quantidade de dependentes é aproximada e pode nem sempre corresponder aos dependentes listados.

Caixa de seleção para desabilitar o grafo de dependência

Os administradores de repositório podem habilitar ou desabilitar o grafo de dependência para repositórios privados ou internos ou forks públicos.

Você pode habilitar ou desabilitar o gráfico de dependências para todos os repositórios pertencentes à sua conta de usuário. Para saber mais, confira Gerenciar as configurações de segurança e análise para a sua conta pessoal.

Você também pode habilitar o grafo de dependência para vários repositórios em uma organização ao mesmo tempo. Para obter mais informações, confira Como proteger sua organização.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Advanced Security.

  4. Leia a mensagem sobre a permissão de acesso somente leitura do GitHub aos dados do repositório para habilitar o grafo de dependência e, ao lado de "Dependency Graph", clique em Enable.

    Você pode desabilitar o grafo de dependência a qualquer momento clicando em Disable ao lado de "Dependency Graph" na página de configuração do "Advanced Security".

Alterar o pacote "Usado por"

Você poderá observar que alguns repositórios têm uma seção "Usado por" na barra lateral da guia Código. Seu repositório terá uma seção "Usado por" se:

  • O gráfico de dependências está habilitado para o repositório (consulte a seção acima para mais detalhes).
  • Ele contiver um pacote publicado em um ecossistema de pacotes compatível.
  • Dentro dele, o pacote tiver um link para um repositório público em que o código-fonte é armazenado.
  • Mais de 100 repositórios dependem do seu pacote.

A seção "Usado por" mostra o número de referências públicas ao pacote que foi encontrado, e exibe os avatares de alguns dos proprietários dos projetos dependentes.

Captura de tela da seção "Used by" para um repositório mostrando o resumo de "13.4m" com detalhes de 8 avatares e "+13.435.819".

Se você clicar em qualquer item dessa seção, será levado para a guia Dependentes do grafo de dependência.

A seção "Usado por" representa um único pacote do repositório. Se você tiver permissões de administrador em um repositório que contém vários pacotes, você poderá escolher qual pacote a seção "Usado por" representa.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Advanced Security.

  4. Em "Advanced Security", clique no menu suspenso na seção "Usado por contador" e escolha um pacote.

Leitura adicional