关于依赖图
依赖图是对仓库中存储的清单文件和锁文件以及使用依赖提交 API 为仓库提交的任何依赖关系的概要。对于每个仓库,它会显示
- 依赖项:它所依赖的生态系统和软件包
- 依赖者:依赖它的仓库和软件包
对于每个依赖项,您可以查看其版本、许可证信息、包含它的清单文件,以及是否存在已知漏洞。对于支持传递依赖的包生态系统,将显示关系状态,您可以点击“”,然后点击“显示路径”,查看引入该依赖的传递路径。
您还可以使用搜索栏搜索特定的依赖项。依赖项会自动按易受攻击的包排在顶部进行排序。
有关受支持的生态系统和清单文件的详细信息,请参阅 依赖图支援的软件包生态系统。
当您创建包含依赖项更改且目标为默认分支的拉取请求时,GitHub 会使用依赖图向拉取请求添加依赖审查。审查会指示依赖项是否包含漏洞,以及在何种版本中已修复该漏洞。更多信息,请参阅 关于依赖审查。
依赖图的构建方式
依赖图通过分析仓库中的清单文件和锁文件自动解析依赖关系。您也可以自行提交数据。更多信息,请参阅 依赖图如何识别依赖关系。
依赖图的可用性
仓库管理员可以为仓库启用或禁用依赖图。更多信息,请参阅 管理仓库的安全与分析设置。
仓库管理员可以为仓库启用或禁用依赖图。请参阅 启用依赖图。
依赖者和“被使用”数据
对于公共仓库,依赖图会列出依赖者。这些是依赖该仓库或其发布的软件包的其他公共仓库。该信息对私有仓库不予报告。
部分仓库在 代码 选项卡的侧边栏中拥有“被使用”(Used by)区块。该区块显示发现的对某软件包的公共引用数量,并展示部分依赖项目所有者的头像。单击该区块中的任意项目可进入依赖图的 依赖者 选项卡。
如果满足以下条件,您的仓库将出现“被使用”区块:
- 已为该仓库启用依赖图。
- 您的仓库包含发布在受支持的软件包生态系统中的软件包。参阅 依赖图支援的软件包生态系统。
- 在该生态系统内,您的软件包链接到一个公共仓库,其中存放源码。
- 已有超过 100 个仓库依赖您的软件包。
“被使用”区块代表仓库中的单一软件包。如果您拥有包含多个软件包的仓库的管理员权限,可选择该区块所代表的软件包。参阅 更改仓库的“被使用”数据。
您可以使用依赖图做什么
您可以使用依赖图来
- 探索代码所依赖的仓库以及依赖代码的仓库。更多信息,请参阅 探索仓库的依赖关系。
- 在单一仪表板中查看组织所有仓库使用的依赖项摘要。更多信息,请参阅 查看组织依赖洞察。
- 查看并更新您仓库中存在漏洞的依赖项。更多信息,请参阅 关于 Dependabot 警报。
- 在拉取请求中查看有关易受攻击依赖项的信息。更多信息,请参阅 在拉取请求中审查依赖项更改。
- 导出软件材料清单(SBOM)用于审计或合规目的。这是项目依赖关系的正式、机器可读的清单。参阅 导出仓库的软件材料清单。