探索仓库的依赖项

可以使用依赖项关系图查看项目所依赖的包以及依赖它的存储库。 此外,你还可以看到在其依赖项中检测到的任何漏洞。

谁可以使用此功能?

存储库管理员、组织所有者以及对存储库具有写入维护访问权限的人员

本文内容

查看依赖关系图

依赖项关系图显示了存储库中的依赖关系和依赖项。 对于每个依赖项,可以看到版本、许可证信息、包含它的清单文件,以及它是否具有已知漏洞。 对于支持传递性依赖项的包生态系统,将显示依赖关系状态。你可以单击 ,然后选择“Show paths”,以查看引入该依赖项的传递路径。

还可以使用搜索栏搜索特定依赖项。 依赖项会自动排序,存在漏洞的包排在最上方。 有关依赖项检测和受支持的生态系统的信息,请参阅 Dependency graph supported package ecosystems

  1. 在 GitHub 上,导航到存储库的主页面。1. 在左侧边栏中,单击“依赖项关系图”。

    “依赖项关系图”选项卡的屏幕截图。选项卡以橙色边框突出显示。

  2. (可选)使用搜索栏查找特定的依赖项或一组依赖项。 可以使用关键字 ecosystem: 来仅显示某种类型的包,使用关键字 relationship: 来仅显示直接依赖项或可传递依赖项(如果生态系统支持可传递性)。 搜索栏中的纯单词仅与包名称匹配。

  3. (可选)要查看依赖于你的存储库的存储库和包,请在“依赖项关系图”下单击“依赖项”****。

    “依赖项关系图”页面的屏幕截图。 “依赖项”选项卡以橙色边框突出显示。

    注意

    GitHub 目前仅确定公共存储库的依赖项。

依赖项视图

对于每个依赖项,可以查看其生态系统、包含它的清单文件及其许可证(如果检测到)。

  • 专用仓库、专用包或无法识别的文件上的依赖项以纯文本显示。

  • 如果依赖项的包管理器位于公共存储库中,则可以将鼠标悬停在依赖项名称上以显示包含关联存储库信息的弹出窗口。

  • 可以通过将筛选器作为 key:value 对输入到搜索栏中,对依赖项进行排序和筛选。

    • 使用 ecosystem: <ecosystem-name> 显示所选生态系统的依赖项。
    • 使用 relationship: 按关系状态筛选列表。 可能值为 directtransitiveinconclusive。 或者,可以单击依赖项名称旁边的关系标签,仅显示具有相同关系状态的依赖项。 此筛选器仅可用于支持可传递依赖项的生态系统。 有关详细信息,请参阅 Dependency graph supported package ecosystems

使用 依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。 有关使用 依赖项提交 API 的详细信息,请参阅 使用依赖项提交 API

如果在仓库中检测到漏洞,这些漏洞将显示在视图顶部,供有权访问 Dependabot alerts 的用户查看。

依赖项视图

对于公共仓库,依赖项视图显示其他仓库如何使用该仓库。 要仅显示包含包管理器中某个库的存储库,请单击依赖存储库列表正上方的“NUMBER 个包”****。 依赖项计数是近似值,不一定与列出的依赖项匹配。

启用和禁用依赖项关系图

存储库管理员可启用或禁用你的用户帐户拥有的所有存储库的依赖项关系图,无论其可见性如何。 请参阅“管理安全和分析功能”。

还可以同时为组织中的多个存储库启用依赖项关系图。 有关详细信息,请参阅“保护你的组织”。

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在仓库名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“Security”部分中,单击“ Advanced Security”****。

  4. 阅读有关授予 GitHub 对仓库数据的只读访问权限的消息,以启用依赖项关系图,然后在“依赖项关系图”旁边单击“启用”****。

    可以随时单击“Advanced Security”的设置页上“依赖项关系图”旁边的“禁用”来禁用依赖项关系图****。

更改“Used by(使用者)”包

你可能会注意到某些存储库的“代码”选项卡侧边栏中有“使用者”**** 部分。如果满足以下条件,你的存储库将有“使用者”部分:

  • 为存储库启用了依赖关系图(有关更多详细信息,请参阅上一节)。
  • 存储库包含在受支持的包生态系统上发布的包。
  • 在该生态系统中,你的包有一个指向存储源代码的_公共_存储库的链接。
  • 超过 100 个存储库依赖于你的包。

“Used by(使用者)”部分显示已发现对包的公开引用数量,并显示某些依赖项所有者的头像。

存储库的“使用者”部分的屏幕截图,显示“1340 万”的摘要,以及 8 个头像和“+13,435,819”的详细信息。

单击此部分中的任何项目都会导航到依赖项关系图的“依赖项”**** 选项卡。

“Used by(使用者)”部分表示仓库中的单个包。 如果你对包含多个包的仓库拥有管理员权限,你可以选择“Used by(使用者)”部分表示哪个包。

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在仓库名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“Security”部分中,单击“ Advanced Security”****。

  4. 在“Advanced Security”下,单击“Used by counter”部分中的下拉菜单并选择一个包。

延伸阅读

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/get-started/privacy-on-github)