Sobre o gráfico de dependências
O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra as dependências, os ecossistemas e os pacotes dos quais ele depende.
Para cada dependência, você pode ver a versão, o arquivo de manifesto que a incluiu e se ela tem vulnerabilidades conhecidas. Para ecossistemas de pacotes que dão suporte a dependências transitivas, o status da relação será exibido e você poderá clicar em "", e em seguida em "Show paths" para ver o caminho transitivo que trouxe a dependência.
Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente com os pacotes vulneráveis na parte superior.
O GitHub não recupera informações de licença para dependências e não calcula informações sobre os dependentes, os repositórios e os pacotes que dependem de um repositório.
Para obter informações sobre os ecossistemas suportados e os arquivos de manifesto, consulte Ecossistemas de pacotes com suporte a gráficos de dependência.
Quando você cria um pull request que contém alterações nas dependências e tem como destino o branch padrão, GitHub usa o grafo de dependências para adicionar análises de dependências ao pull request. Eles indicam se as dependências contêm vulnerabilidades e, em caso afirmativo, a versão da dependência na qual a vulnerabilidade foi corrigida. Para obter mais informações, consulte Análise de dependência.
Como o grafo de dependência é criado
O grafo de dependência analisa automaticamente as dependências analisando manifestos e arquivos de bloqueio em seu repositório. Você também pode enviar dados por conta própria. Para obter mais informações, consulte Como o grafo de dependência reconhece dependências.
Disponibilidade do gráfico de dependências
Proprietários de empresa podem configurar um grafo de dependência e Dependabot alerts para uma empresa. Para obter mais informações, confira Habilitando o gráfico de dependências para a sua empresa e Habilitando o Dependabot para sua empresa.
Para obter mais informações sobre a configuração do grafo de dependência, consulte Habilitar o grafo de dependência.
O que você pode fazer com o grafo de dependência
Você pode usar o gráfico de dependências para:
- Explorar os repositórios dos quais seu código depende. Para obter mais informações, consulte Explorar as dependências de um repositório.
- Ver e atualizar dependências vulneráveis no seu repositório. Para obter mais informações, consulte Dependabot alerts.
- Veja as informações sobre dependências vulneráveis em pull requests. Para obter mais informações, consulte Revisão de alterações de dependências em um pull request.
- Exportar uma lista de materiais de software (SBOM) para fins de auditoria ou conformidade. Esse é um inventário formal e legível por computador das dependências de um projeto. Consulte Como exportar uma lista de materiais de software para seu repositório.