Disponibilidade do gráfico de dependências
O gráfico de dependências está disponível para todos que definem dependências em um ecossistema de pacote suportado usando um formato de arquivo suportado.
O seu administrador do site deve habilitar Dependabot para dependências vulneráveis para sua instância do GitHub Enterprise Server antes de você poder usar este recurso. Para obter mais informações, consulte "Habilitar alertas para dependências vulneráveis em GitHub Enterprise Server".
Sobre o gráfico de dependências
O gráfico de dependências é um resumo do manifesto e bloqueia arquivos armazenados em um repositório. Para cada repositório, é exibido dependências, isto é, os ecossistemas e pacotes de que ele depende. O GitHub Enterprise Server não calcula informações sobre dependentes, repositórios e pacotes que dependem de um repositório.
Ao fazer push de um commit para GitHub Enterprise Server que altera ou adiciona um manifesto compatível ou um arquivo de bloqueio para o branch-padrão, o gráfico de dependências é atualizado automaticamente. Para informações sobre os ecossistemas compatíveis e arquivos de manifesto, consulte "ecossistemas de pacote compatíveis" abaixo.
Dependências incluídas
O gráfico de dependências inclui todas as dependências de um repositório detalhadas nos arquivos de manifesto e de bloqueio ou seu equivalente para ecossistemas compatíveis. Isto inclui:
- Dependências diretas, que são definidas explicitamente em um manifesto ou arquivo de bloqueio
- Dependências indiretas dessas dependências diretas, também conhecidas como dependências transitórias ou subdependências
O gráfico de dependências identifica dependências indiretas dos arquivos de bloqueio.
Usar o gráfico de dependências
Você pode usar o gráfico de dependências para:
- Explore os repositórios dos quais o seu código depende . Para obter mais informações, consulte "Explorar as dependências de um repositório".
- Ver e atualizar dependências vulneráveis no seu repositório. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis.
Habilitar o gráfico de dependências
Se o gráfico de dependências não estiver disponível no seu sistema, o administrador do site poderá habilitar o gráfico de dependências e Alertas do Dependabot. Para obter mais informações, consulte "Habilitar alertas para dependências vulneráveis em GitHub Enterprise Server
Quando o gráfico de dependências é ativado pela primeira vez, todos manifesto e arquivos de bloqueio para ecossistemas suportados são analisados imediatamente. O gráfico geralmente é preenchido em minutos, mas isso pode levar mais tempo para repositórios com muitas dependências. Uma vez habilitado, o gráfico é atualizado automaticamente a cada push para o repositório.
Ecossistemas de pacote compatíveis
Os formatos recomendados definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Se você usar esses formatos, seu gráfico de dependências será mais preciso. Ele também reflete a configuração da criação atual e permite que o gráfico de dependências relate vulnerabilidades em dependências diretas e indiretas.
| Gerenciador de pacotes | Idiomas | Formatos recomendados | Todos os formatos compatíveis |
|---|---|---|---|
| Composer | PHP | composer.lock | composer.json, composer.lock |
dotnet CLI | .NET languages (C#, C++, F#, VB) | .csproj, .vbproj, .nuspec, .vcxproj, .fsproj | .csproj, .vbproj, .nuspec, .vcxproj, .fsproj, packages.config |
| Maven | Java, Scala | pom.xml | pom.xml |
| npm | JavaScript | package-lock.json | package-lock.json, package.json |
| Python PIP | Python | requirements.txt, pipfile.lock | requirements.txt, pipfile, pipfile.lock, setup.py* |
| RubyGems | Ruby | Gemfile.lock | Gemfile.lock, Gemfile, *.gemspec |
| Yarn | JavaScript | yarn.lock | package.json, yarn.lock |
Observação: se você listar suas dependências de Python em um arquivo setup.py, será provável que não possamos analisar e listar cada dependência no seu projeto.