Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
O GitHub AE está atualmente sob versão limitada. Entre em contato com nossa Equipe de Vendas para saber mais.

Sobre o gráfico de dependências

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

Sobre o gráfico de dependências

The dependency graph is a summary of the manifest and lock files stored in a repository. Para cada repositório, ele mostra dependências, isto é, os ecossistemas e pacotes de que ele depende. O GitHub AE não calcula informações sobre dependentes, repositórios e pacotes que dependem de um repositório.

Ao fazer push de um commit para o GitHub AE, que muda ou adiciona um manifesto compatível ou um arquivo de bloqueio para o branch-padrão, o gráfico de dependências será atualizado automaticamente. Para obter informações sobre os ecossistemas compatíveis e arquivos de manifesto, consulte "ecossistemas de pacotes compatíveis" abaixo.

Ao criar um pull request que contém alterações para dependências direcionadas ao branch padrão, GitHub usará o gráfico de dependências para adicionar revisões de dependências ao pull request. Eles indicam se as dependências contêm vulnerabilidades e, em caso afirmativo, a versão da dependência na qual a vulnerabilidade foi corrigida. Para obter mais informações, consulte "Sobre a revisão de dependências".

Disponibilidade do gráfico de dependências

Enterprise owners can configure Alertas do Dependabot for an enterprise. For more information, see "Enabling Dependabot for your enterprise."

Dependências incluídas

O gráfico de dependência inclui todas as dependências de um repositório detalhado nos arquivos de manifesto e de bloqueio, ou seu equivalente, para ecossistemas compatíveis. Isto inclui:

  • As dependências diretas, que são explicitamente definidas em um arquivo manifesto ou de bloqueio
  • Dependências indiretas dessas dependências diretas, também conhecidas como dependências transitórias ou subdependências

O gráfico de dependências identifica as dependências indiretas dos arquivos de bloqueio.

Para obter mais informações sobre como GitHub AE ajuda você a entender as dependências do seu ambiente, consulte "Sobre a segurança da cadeia de suprimentos."

Usar o gráfico de dependências

Você pode usar o gráfico de dependências para:

Ecossistemas de pacote compatíveis

Os formatos recomendados definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Se você usar esses formatos, seu gráfico de dependências será mais preciso. Ele também reflete a configuração da criação atual e permite que o gráfico de dependências relate vulnerabilidades em dependências diretas e indiretas.

Gerenciador de pacotesLinguagemFormatos recomendadosTodos os formatos compatíveis
ComposerPHPcomposer.lockcomposer.json, composer.lock
Go modulesGogo.sumgo.mod, go.sum
MavenJava, Scalapom.xmlpom.xml
RubyGemsRubyGemfile.lockGemfile.lock, Gemfile, *.gemspec

[‡] Se você listar suas dependências do Python nas no arquivo setup.py, é possível que não possamos analisar e listar todas as dependências do seu projeto.

Leia mais