Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre o gráfico de dependências

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

Sobre o gráfico de dependências

O gráfico de dependências é um resumo do manifesto e bloqueia arquivos armazenados em um repositório. Para cada repositório, ele mostra dependências, isto é, os ecossistemas e pacotes de que ele depende. O GitHub Enterprise Server não calcula informações sobre dependentes, repositórios e pacotes que dependem de um repositório.

Ao fazer push de um commit para o GitHub Enterprise Server, que muda ou adiciona um manifesto compatível ou um arquivo de bloqueio para o branch-padrão, o gráfico de dependências será atualizado automaticamente. Para obter informações sobre os ecossistemas compatíveis e arquivos de manifesto, consulte "ecossistemas de pacotes compatíveis" abaixo.

Ao criar um pull request que contém alterações para dependências direcionadas ao branch padrão, GitHub usará o gráfico de dependências para adicionar revisões de dependências ao pull request. Eles indicam se as dependências contêm vulnerabilidades e, em caso afirmativo, a versão da dependência na qual a vulnerabilidade foi corrigida. Para obter mais informações, consulte "Sobre a revisão de dependências".

Disponibilidade do gráfico de dependências

Enterprise owners can configure the dependency graph and Alertas do Dependabot for an enterprise. For more information, see "Enabling the dependency graph for your enterprise" and "Enabling Dependabot for your enterprise."

Dependências incluídas

O gráfico de dependências inclui todas as dependências de um repositório detalhadas nos arquivos de manifesto e de bloqueio ou seu equivalente para ecossistemas compatíveis. Isto inclui:

  • Dependências diretas, que são definidas explicitamente em um manifesto ou arquivo de bloqueio
  • Dependências indiretas dessas dependências diretas, também conhecidas como dependências transitórias ou subdependências

O gráfico de dependências identifica as dependências indiretas dos arquivos de bloqueio.

Usar o gráfico de dependências

Você pode usar o gráfico de dependências para:

Ecossistemas de pacote compatíveis

Os formatos recomendados definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Se você usar esses formatos, seu gráfico de dependências será mais preciso. Ele também reflete a configuração da criação atual e permite que o gráfico de dependências relate vulnerabilidades em dependências diretas e indiretas.

Gerenciador de pacotesLinguagemFormatos recomendadosTodos os formatos compatíveis
ComposerPHPcomposer.lockcomposer.json, composer.lock
NuGet.NET languages (C#, F#, VB), C++.csproj, .vbproj, .nuspec, .vcxproj, .fsproj.csproj, .vbproj, .nuspec, .vcxproj, .fsproj, packages.config
Módulos do GoGogo.sumgo.mod, go.sum
MavenJava, Scalapom.xmlpom.xml

[1] Se você listar suas dependências do Python no arquivo setup.py, é possível que não possamos analisar e listar todas as dependências do seu projeto.

Leia mais