查看依赖关系图
依赖项关系图显示了存储库中的依赖关系和依赖项。 对于每个依赖项,可以看到版本、许可证信息、包含它的清单文件,以及它是否具有已知漏洞。 对于支持可传递依赖项的包生态系统,会显示关系状态,并且公开按钮“...”将显示引入依赖项的可传递路径。**** 有关可传递依赖项支持的详细信息,请参阅 依赖项关系图支持的包生态系统。
还可以使用搜索栏搜索特定依赖项。 依赖项自动排序,漏洞显示在顶部。 有关依赖项检测和受支持的生态系统的信息,请参阅 依赖项关系图支持的包生态系统。
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击 “见解”。
-
在左侧边栏中,单击“依赖项关系图”。
-
(可选)使用搜索栏查找特定的依赖项或一组依赖项。 可以使用关键字
ecosystem:来仅显示某种类型的包,使用关键字relationship:来仅显示直接依赖项或可传递依赖项(如果生态系统支持可传递性)。 搜索栏中的纯单词仅与包名称匹配。 -
(可选)要查看依赖于存储库的存储库和包,请在“依赖项关系图”下单击“依赖项”。
Note
GitHub 当前只能确定公共存储库的依赖项。
依赖项视图
对于每个依赖项,可以查看其生态系统、包含它的清单文件及其许可证(如果检测到)。
-
私有仓库、私有包或无法识别的文件上的依赖项以纯文本显示。
-
如果依赖项的包管理器位于公共存储库中,则可以将鼠标悬停在依赖项名称上以显示包含关联存储库信息的弹出窗口。
-
可以通过将筛选器作为
key:value对输入到搜索栏中,对依赖项进行排序和筛选。- 使用
ecosystem: <ecosystem-name>显示所选生态系统的依赖项。 - 使用
relationship:按关系状态筛选列表。 可能值为direct、transitive和inconclusive。 或者,可以单击依赖项名称旁边的关系标签,仅显示具有相同关系状态的依赖项。 此筛选器仅可用于支持可传递依赖项的生态系统。 有关详细信息,请参阅 依赖项关系图支持的包生态系统。
- 使用
使用 依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。 有关使用 依赖项提交 API 的详细信息,请参阅 使用依赖项提交 API。
如果在仓库中检测到漏洞,这些漏洞将显示在视图顶部,供有权访问 Dependabot alerts 的用户查看。
依赖项视图
对于公共仓库,依赖项视图显示其他仓库如何使用该仓库。 要在包管理器中仅显示包含库的存储库,请单击依赖的存储库列表正上方的“编号包”。 依赖项计数是近似值,不一定与列出的依赖项匹配。
启用和禁用依赖项关系图
仓库管理员可以启用或禁用专用或内部仓库或公共派生的依赖项关系图。
您也可以为用户帐户拥有的所有存储库启用或禁用依赖项关系图。 有关详细信息,请参阅“管理个人帐户的安全和分析设置”。
还可以同时为组织中的多个存储库启用依赖项关系图。 有关详细信息,请参阅“保护你的组织”。
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。
-
在边栏的“Security”部分中,单击“ Advanced Security”****。
-
阅读有关授予 GitHub 对仓库数据的只读访问权限的消息,以启用依赖项关系图,然后在“依赖项关系图”旁边单击“启用”****。
可以随时单击“Advanced Security”的设置页上“依赖项关系图”旁边的“禁用”来禁用依赖项关系图****。
更改“Used by(使用者)”包
可能会注意到某些存储库在“代码”选项卡的边栏中有“使用者”部分。如果存在以下内容,则存储库将包含“使用者”部分:
- 为存储库启用了依赖关系图(有关更多详细信息,请参阅上一节)。
- 存储库包含在受支持的包生态系统上发布的包。
- 在生态系统中,你的包具有指向存储源代码的公共存储库的链接。
- 超过 100 个存储库依赖于你的包。
“Used by(使用者)”部分显示已发现对包的公开引用数量,并显示某些依赖项所有者的头像。
单击此部分的任何项都会转到依赖项关系图的“依赖项”选项卡。
“Used by(使用者)”部分表示仓库中的单个包。 如果您对包含多个包的仓库拥有管理员权限,您可以选择“Used by(使用者)”部分表示哪个包。
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。
-
在边栏的“Security”部分中,单击“ Advanced Security”****。
-
在“Advanced Security”下,单击“Used by counter”部分中的下拉菜单并选择一个包。