Skip to main content

Atualmente o GitHub AE está em versão limitada.

Sobre o gráfico de dependências

Você pode usar o gráfico de dependências para identificar todas as dependências do seu projeto. O gráfico de dependências é compatível com uma série de ecossistemas de pacotes populares.

Sobre o gráfico de dependências

O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório. Para cada repositório, ele mostra as dependências, ou seja, os ecossistemas e os pacotes dos quais ele depende.

Quando você efetua push de um commit para o GitHub AE que altera ou adiciona um arquivo de manifesto ou de bloqueio compatível para o branch padrão, o grafo de dependência é atualizado automaticamente. Para obter informações sobre os ecossistemas compatíveis e os arquivos de manifesto, confira "Ecossistemas de pacotes compatíveis" abaixo.

Ao criar um pull request que contém alterações para dependências direcionadas ao branch padrão, GitHub usará o gráfico de dependências para adicionar revisões de dependências ao pull request. Eles indicam se as dependências contêm vulnerabilidades e, em caso afirmativo, a versão da dependência na qual a vulnerabilidade foi corrigida. Para obter mais informações, confira "Sobre a análise de dependência".

Disponibilidade do gráfico de dependências

Os proprietários de empresas podem configurar os Dependabot alerts para uma empresa. Para saber mais, confira "Habilitando o Dependabot para sua empresa".

Dependências incluídas

O grafo de dependência inclui todas as dependências de um repositório detalhadas nos arquivos de manifesto e de bloqueio, ou um equivalente, para ecossistemas com suporte. Isso inclui:

  • As dependências diretas, que são definidas explicitamente em um arquivo de manifesto ou de bloqueio
  • Dependências indiretas dessas dependências diretas, também conhecidas como dependências transitórias ou subdependências

O gráfico de dependência só identifica dependências indiretas dos arquivos de bloqueio.

Para saber mais sobre como o GitHub AE ajuda você a entender as dependências do seu ambiente, confira "Sobre a segurança da cadeia de suprimento".

Usar o gráfico de dependências

Você pode usar o gráfico de dependências para:

Ecossistemas de pacote compatíveis

Os formatos recomendados definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Se você usar esses formatos, o grafo de dependência será mais preciso. Ele também reflete a configuração de build atual e permite que o grafo de dependência relate as vulnerabilidades em dependências diretas e indiretas.

Gerenciador de pacotesIdiomasFormatos recomendadosTodos os formatos com suporte
CargoRustCargo.lockCargo.toml, Cargo.lock
ComposerPHPcomposer.lockcomposer.json, composer.lock
NuGetLinguagens .NET (C#, F#, VB), C++.csproj, .vbproj, .nuspec, .vcxproj, .fsproj.csproj, .vbproj, .nuspec, .vcxproj, .fsproj, packages.config
Fluxos de trabalho GitHub ActionsYAML.yml, .yaml.yml, .yaml
Módulos GoGogo.modgo.mod, go.sum
MavenJava, Scalapom.xmlpom.xml
npmJavaScriptpackage-lock.jsonpackage-lock.json, package.json
Python PoetryPythonpoetry.lockpoetry.lock, pyproject.toml
RubyGemsRubyGemfile.lockGemfile.lock, Gemfile, *.gemspec
YarnJavaScriptyarn.lockpackage.json, yarn.lock

Observações:

  • Se você listar as dependências Python em um arquivo setup.py, talvez não seja possível analisar nem listar todas as dependências do projeto.

  • Os fluxos de trabalho do GitHub Actions precisam estar localizados no diretório .github/workflows/ de um repositório para serem reconhecidos como manifestos. As ações ou os fluxos de trabalho referenciados com a sintaxe jobs[*].steps[*].uses ou jobs.<job_id>.uses serão analisados como dependências. Para obter mais informações, confira "Sintaxe de fluxo de trabalho para o GitHub Actions".

Leitura adicional