启用依赖项关系图

通过启用依赖项关系图,用户可识别其项目的依赖项。

谁可以使用此功能?

具有管理员角色的存储库所有者、组织所有者、安全管理员和用户

本文内容

依赖项关系图是存储库中存储的清单文件和锁定文件以及使用 依赖项提交 API 为该存储库提交的所有依赖项的摘要。 有关详细信息,请参阅“关于依赖关系图”。

首次启用依赖关系图时,将立即剖析受支持的生态系统的任何清单和锁定文件。 依赖关系图通常在几分钟之内填充,但对于依赖项很多的仓库,可能需要更长时间。 启用后,该关系图将在每次推送到存储库以及每次推送到该关系图中的其他存储库时自动更新。

为存储库启用依赖项图

启用依赖项关系图可授予 GitHub 对存储库的依赖项清单和锁定文件的只读访问权限。

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在仓库名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“Security”部分中,单击“ Advanced Security”****。

  4. 阅读有关授予 GitHub 对仓库数据的只读访问权限的消息,以启用依赖项关系图,然后在“依赖项关系图”旁边单击“启用”****。

    可以随时单击“Advanced Security”的设置页上“依赖项关系图”旁边的“禁用”来禁用依赖项关系图****。

为多个存储库启用依赖项图

无论其可见性如何,都可以为用户帐户拥有的所有存储库启用或禁用依赖项关系图。 请参阅“管理安全和分析功能”。

还可以同时为组织中的多个存储库启用依赖项关系图。 有关更多信息,请参阅 在组织中配置安全功能

后续步骤

你可以使用 依赖项提交 API 从所选的包管理器或生态系统提交依赖项,即使该生态系统不支持依赖项关系图的清单或锁定文件分析。 使用 依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。 有关 依赖项提交 API 的详细信息,请参阅 使用依赖项提交 API

有关查看依赖项关系图的详细信息,请参阅 探索仓库的依赖项

延伸阅读

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository)

  •         [AUTOTITLE](/organizations/collaborating-with-groups-in-organizations/viewing-insights-for-dependencies-in-your-organization)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)