Configuring the dependency graph

You can allow users to identify their projects' dependencies by enabling the dependency graph.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

About the dependency graph

O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra:

  • As dependências, os ecossistemas e os pacotes do qual depende
  • Os dependentes, os repositórios e os pacotes que dependem dele

Para cada dependência, você pode ver a versão, informações da licença, o arquivo de manifesto que a incluiu e se ela tem vulnerabilidades conhecidas. Para ecossistemas de pacotes que dão suporte a dependências transitivas, o status da relação será exibido e você poderá clicar em "", e em seguida em "Show paths" para ver o caminho transitivo que trouxe a dependência.

Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente com os pacotes vulneráveis na parte superior.

For more information, see Sobre o grafo de dependência.

Configuring the dependency graph

To generate a dependency graph, GitHub needs read-only access to the dependency manifest and lock files for a repository. The dependency graph can be enabled or disabled for all repositories. For more information on viewing the dependency graph, see Exploring the dependencies of a repository.

Além disso, você pode usar a API de envio de dependência para enviar dependências do gerenciador de pacotes ou ecossistema de sua escolha, mesmo que o ecossistema não tenha suporte pelo grafo de dependência para análise de arquivos de manifesto ou de bloqueio. Dependências enviadas para um projeto usando a API de envio de dependência mostrarão qual detector foi usado para seu envio e quando elas foram enviadas. Para saber mais sobre o API de envio de dependência, confira Using the dependency submission API.

Enabling and disabling the dependency graph

Os administradores do repositório podem habilitar ou desabilitar o grafo de dependência para todos os repositórios pertencentes à sua conta de usuário, independentemente da visibilidade. Confira Gerenciando recursos de segurança e análise.

Você também pode habilitar o grafo de dependência para vários repositórios em uma organização ao mesmo tempo. Para obter mais informações, confira Como proteger sua organização.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Leia a mensagem sobre a permissão de acesso somente leitura do GitHub aos dados do repositório para habilitar o grafo de dependência e, ao lado de "Dependency Graph", clique em Enable.

    Você pode desabilitar o grafo de dependência a qualquer momento clicando em Disable ao lado de "Dependency Graph" na página de configuração do "Advanced Security".

When the dependency graph is first enabled, any manifest and lock files for supported ecosystems are parsed immediately. The graph is usually populated within minutes but this may take longer for repositories with many dependencies. Once enabled, the graph is automatically updated with every push to the repository and every push to other repositories in the graph.

Further reading