配置依赖关系图

您可以通过启用依赖关系图来允许用户识别其项目的依赖项。

谁可以使用此功能?

仓库所有者、组织所有者、安全管理员以及具有 **管理员** 角色的用户

本文内容

关于依赖关系图

依赖关系图是存储在仓库中的清单和锁定文件以及使用依赖项提交 API 为仓库提交的任何依赖项的摘要。对于每个仓库,它都会显示

  • 依赖项,它所依赖的生态系统和包
  • 依赖方,依赖它的仓库和包

对于每个依赖项,您可以查看许可证信息和漏洞严重性。您还可以使用搜索栏搜索特定依赖项。依赖项会根据漏洞严重性自动排序。

有关更多信息,请参阅“关于依赖关系图”。

配置依赖关系图

要生成依赖关系图,GitHub 需要对仓库数据的只读访问权限才能启用依赖关系图。依赖关系图会自动为所有公共仓库生成,您可以选择为私有仓库启用它。有关查看依赖关系图的更多信息,请参阅“探索仓库的依赖项”。

此外,您可以使用依赖项提交 API 提交来自您选择的包管理器或生态系统的依赖项,即使该生态系统不受依赖关系图清单或锁定文件分析的支持。使用依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。有关依赖项提交 API 的更多信息,请参阅“使用依赖项提交 API”。

为私有仓库启用和禁用依赖关系图

仓库管理员可以为私有仓库启用或禁用依赖关系图。

您可以为用户帐户拥有的所有仓库启用或禁用依赖关系图。有关更多信息,请参阅“管理您个人帐户的安全和分析设置”。

您也可以同时为组织中的多个仓库启用依赖关系图。有关更多信息,请参阅“保护您的组织”。

  1. 在 GitHub 上,导航到仓库的主页。

  2. 在您的仓库名称下,单击 **设置**。如果您看不到“设置”选项卡,请选择****下拉菜单,然后单击**设置**。

    Screenshot of a repository header showing the tabs. The "Settings" tab is highlighted by a dark orange outline.

  3. 在侧边栏的“安全”部分,单击** 代码安全和分析**。

  4. 阅读有关授予 GitHub 对仓库数据只读访问权限以启用依赖关系图的消息,然后在“依赖关系图”旁边,单击**启用**。

    Screenshot showing how to enable the dependency graph for a repository. The "Enable" button is highlighted with a dark orange outline.

    您可以随时通过单击“代码安全和分析”设置页面上“依赖关系图”旁边的**禁用**来禁用依赖关系图。

首次启用依赖关系图时,会立即解析受支持生态系统的任何清单和锁定文件。该图通常会在几分钟内填充,但对于具有许多依赖项的仓库,这可能需要更长时间。启用后,该图会随每次推送到仓库以及每次推送到图中其他仓库而自动更新。

进一步阅读