Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.

Esta versão do GitHub Enterprise foi descontinuada em 2023-03-15. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Sobre o gráfico de dependências

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

Sobre o gráfico de dependências

O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório. Para cada repositório, ele mostra dependências, isto é, os ecossistemas e pacotes de que ele depende. O GitHub Enterprise Server não calcula informações sobre dependentes, os repositórios e os pacotes que dependem de um repositório.

Quando você efetua push de um commit para o GitHub Enterprise Server que altera ou adiciona um arquivo de manifesto ou de bloqueio compatível para o branch padrão, o grafo de dependência é atualizado automaticamente. Para obter informações sobre os ecossistemas compatíveis e os arquivos de manifesto, confira "Ecossistemas de pacotes compatíveis" abaixo.

Ao criar um pull request que contém alterações para dependências direcionadas ao branch padrão, GitHub usará o gráfico de dependências para adicionar revisões de dependências ao pull request. Eles indicam se as dependências contêm vulnerabilidades e, em caso afirmativo, a versão da dependência na qual a vulnerabilidade foi corrigida. Para obter mais informações, confira "Sobre a análise de dependência".

Disponibilidade do gráfico de dependências

Os proprietários de empresas podem configurar o grafo de dependência e os Dependabot alerts para uma empresa. Para obter mais informações, confira "Habilitando o gráfico de dependências para a sua empresa" e "Habilitando o Dependabot para sua empresa".

Para obter mais informações sobre a configuração do grafo de dependência, confira "Configurando o grafo de dependência".

Dependências incluídas

O grafo de dependência inclui todas as dependências de um repositório detalhadas nos arquivos de manifesto e de bloqueio, ou um equivalente, para ecossistemas com suporte. Isso inclui:

  • As dependências diretas, que são definidas explicitamente em um arquivo de manifesto ou de bloqueio
  • Dependências indiretas dessas dependências diretas, também conhecidas como dependências transitórias ou subdependências

O grafo de dependência identifica as dependências indiretas dos arquivos de bloqueio.

Para saber mais sobre como o GitHub Enterprise Server ajuda você a entender as dependências do seu ambiente, confira "Sobre a segurança da cadeia de suprimento".

Usar o gráfico de dependências

Você pode usar o gráfico de dependências para:

Ecossistemas de pacote compatíveis

Os formatos recomendados definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Se você usar esses formatos, o grafo de dependência será mais preciso. Ele também reflete a configuração de build atual e permite que o grafo de dependência relate as vulnerabilidades em dependências diretas e indiretas.

| Gerenciador de pacotes | Idiomas | Formatos recomendados | Todos os formatos com suporte | | --- | --- | --- | ---| | Composer | PHP | composer.lock | composer.json, composer.lock | | NuGet | Linguagens .NET (C#, F#, VB), C++ | .csproj, .vbproj, .nuspec, .vcxproj, .fsproj | .csproj, .vbproj, .nuspec, .vcxproj, .fsproj, packages.config | | Módulos do Go | Go | go.mod| go.mod, go.sum | | Maven | Java, Scala | pom.xml | pom.xml | | npm | JavaScript | package-lock.json | package-lock.json, package.json| | pip | Python | requirements.txt, pipfile.lock | requirements.txt, pipfile, pipfile.lock, setup.py[2] | | Python Poetry | Python | poetry.lock | poetry.lock, pyproject.toml | | RubyGems | Ruby | Gemfile.lock | Gemfile.lock, Gemfile, *.gemspec | | Yarn | JavaScript | yarn.lock | package.json, yarn.lock |

[2] Caso você liste as dependências do Python em um arquivo setup.py, talvez não possamos analisar nem listar todas as dependências do projeto.

Leitura adicional