查看依赖关系图
依赖项关系图显示了存储库中的依赖关系和依赖项。 对于每个依赖项,可以看到版本、许可证信息、包含它的清单文件,以及它是否具有已知漏洞。 对于支持传递性依赖项的包生态系统,将显示依赖关系状态。你可以单击 ,然后选择“Show paths”,以查看引入该依赖项的传递路径。
还可以使用搜索栏搜索特定依赖项。 依赖项会自动排序,存在漏洞的包排在最上方。 有关依赖项检测和受支持的生态系统的信息,请参阅 依赖项关系图支持的包生态系统。
- 在 GitHub 上,导航到存储库的主页面。1. 在左侧边栏中,单击“依赖项关系图”。
- (可选)使用搜索栏查找特定的依赖项或一组依赖项。 可以使用关键字
ecosystem:来仅显示某种类型的包,使用关键字relationship:来仅显示直接依赖项或可传递依赖项(如果生态系统支持可传递性)。 搜索栏中的纯单词仅与包名称匹配。
依赖项视图
对于每个依赖项,可以查看其生态系统、包含它的清单文件及其许可证(如果检测到)。
-
专用仓库、专用包或无法识别的文件上的依赖项以纯文本显示。
-
如果依赖项的包管理器位于公共存储库中,则可以将鼠标悬停在依赖项名称上以显示包含关联存储库信息的弹出窗口。
-
可以通过将筛选器作为
key:value对输入到搜索栏中,对依赖项进行排序和筛选。- 使用
ecosystem: <ecosystem-name>显示所选生态系统的依赖项。 - 使用
relationship:按关系状态筛选列表。 可能值为direct、transitive和inconclusive。 或者,可以单击依赖项名称旁边的关系标签,仅显示具有相同关系状态的依赖项。 此筛选器仅可用于支持可传递依赖项的生态系统。 有关详细信息,请参阅 依赖项关系图支持的包生态系统。
- 使用
使用 依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。 有关使用 依赖项提交 API 的详细信息,请参阅 使用依赖项提交 API。
如果在仓库中检测到漏洞,这些漏洞将显示在视图顶部,供有权访问 Dependabot alerts 的用户查看。
延伸阅读
-
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph) -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/organizations/collaborating-with-groups-in-organizations/viewing-insights-for-dependencies-in-your-organization)