Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Изучение зависимостей репозитория

В этой статье

Граф зависимостей позволяет выяснить, от каких пакетов зависит ваш проект и какие репозитории зависят от этого проекта. Кроме того, вы сможете узнать, какие уязвимости обнаружены в его зависимостях.

Просмотр графа зависимостей

Граф зависимостей показывает зависимости и зависимые объекты вашего репозитория. Сведения об обнаружении зависимостей и поддерживаемых экосистемах см. в разделе Сведения о графе зависимостей.

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под названием организации нажмите Аналитика. Вкладка "Аналитика" на главной панели навигации по репозиторию 3. На левой боковой панели щелкните Граф зависимостей. Снимок экрана: вкладка "Граф зависимостей". Вкладка выделена оранжевым контуром.
  2. При желании в разделе "Граф зависимостей" щелкните Зависимые. Снимок экрана: вкладка "Зависимые" на странице графа зависимостей.

Представление зависимостей

Зависимости группируются по экосистемам. Вы можете развернуть зависимость, чтобы просмотреть ее зависимости. Зависимости в частных репозиториях, частных пакетах или нераспознанных файлах отображаются в виде обычного текста. Если диспетчер пакетов для зависимости находится в общедоступном репозитории, GitHub Enterprise Cloud отобразит ссылку на этот репозиторий.

Зависимости, отправленные в проект с помощью API отправки зависимостей (бета-версия) также группируются по экосистемам, но отображаются отдельно от зависимостей, обнаруженных в файлах манифеста или блокировки в репозитории. Эти отправленные зависимости отображаются в графе зависимостей как "Зависимости моментальных снимков", так как они отправляются в составе моментального снимка (набора) зависимостей. Дополнительные сведения об использовании API отправки зависимостей см. в разделе Использование API отправки зависимостей.

Если в репозитории обнаружены уязвимости, они отображаются в верхней части представления для пользователей с доступом к Dependabot alerts.

Представление "Зависимые"

Для общедоступных репозиториев представление зависимых объектов показывает, как репозиторий используется другими репозиториями. Чтобы отобразить только репозитории, содержащие библиотеку в диспетчере пакетов, щелкните NUMBER Packages непосредственно над списком зависимых репозиториев. Количество зависимых объектов являются приблизительным и не всегда может соответствовать перечисленным зависимым объектам.

Включение и отключение графа зависимостей для частного репозитория

Администраторы репозиториев могут включать или отключать граф зависимостей для частных репозиториев.

Вы также можете включать или отключать граф зависимостей для всех репозиториев, принадлежащих вашей учетной записи пользователя или организации. Дополнительные сведения см. в разделе Настройка графа зависимостей.

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и выберите пункт Параметры.

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  2. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

  3. Прочтите сообщение о предоставлении доступа только для чтения GitHub Enterprise Cloud к данным репозитория для включения графа зависимостей, а затем рядом с пунктом "Граф зависимостей" нажмите кнопку Включить.

    Снимок экрана: включение графа зависимостей для репозитория. Кнопка "Включить" выделена темно-оранжевым контуром.

    Вы можете отключить граф зависимостей в любое время, нажав кнопку Отключить рядом с пунктом "Граф зависимостей" на странице параметров для "Безопасность и анализ кода".

Изменение пакета раздела "Кем используется"

Вы могли заметить, что некоторые репозитории имеют раздел "Кем используется" в боковой панели вкладки Код. Репозиторий будет иметь раздел "Кем используется", если:

  • для репозитория включен граф зависимостей (дополнительные сведения см. в разделе выше);
  • репозиторий содержит пакет, опубликованный в поддерживаемой экосистеме пакетов;
  • в экосистеме пакет имеет ссылку на общедоступный репозиторий, в котором хранится источник.

В разделе "Кем используется" отображается количество обнаруженных общедоступных ссылок на пакет, а также аватары некоторых владельцев зависимых проектов.

Раздел боковой панели "Кем используется"

Щелкнув любой элемент в этом разделе, вы перейдете на вкладку Зависимые графа зависимостей.

Раздел "Кем используется" представляет один пакет из репозитория. Если у вас есть разрешения администратора на репозиторий, содержащий несколько пакетов, можно выбрать, какой пакет представляет раздел "Кем используется".

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и выберите пункт Параметры.

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  2. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

  3. В разделе "Безопасность и анализ кода" щелкните раскрывающееся меню в разделе "Используется счетчиком" и выберите пакет. Выбор пакета "Кем используется"

Устранение неполадок графа зависимостей

Если ваш граф зависимостей пуст, возможно, имеется проблема с файлом, содержащим зависимости. Проверьте файл, чтобы убедиться, что его формат соответствует типу файла.

Если формат файла правильный, проверьте его размер. Граф зависимостей игнорирует отдельные файлы манифеста и блокировки, размер которых превышает 1,5 МБ, если вы не являетесь пользователем GitHub Enterprise. Он обрабатывает до 20 файлов манифеста или блокировки для каждого репозитория по умолчанию, поэтому можно разделить зависимости на файлы меньшего размера в подкаталогах репозитория.

Если манифест или файл блокировки не обработан, его зависимости исключены из графа зависимостей, и невозможно проверить файл на наличие небезопасных зависимостей.

Дополнительные материалы