此版本的 GitHub Enterprise Server 将于以下日期停止服务 2026-03-17. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

探索仓库的依赖项

可以使用依赖项关系图查看项目所依赖的包。 此外,你还可以看到在其依赖项中检测到的任何漏洞。

谁可以使用此功能?

存储库管理员、组织所有者以及对存储库具有写入维护访问权限的人员

本文内容

查看依赖关系图

依赖项关系图显示了存储库中的依赖关系。 对于每个依赖项,可以看到版本、包含它的清单文件,以及它是否具有已知漏洞。 对于支持传递性依赖项的包生态系统,将显示依赖关系状态。你可以单击 ,然后选择“Show paths”,以查看引入该依赖项的传递路径。

还可以使用搜索栏搜索特定依赖项。 依赖项会自动排序,存在漏洞的包排在最上方。 有关依赖项检测和受支持的生态系统的信息,请参阅 依赖项关系图支持的包生态系统

  1. 在 GitHub 上,导航到存储库的主页面。1. 在左侧边栏中,单击“依赖项关系图”。
    “依赖项关系图”选项卡的屏幕截图。选项卡以橙色边框突出显示。
  2. (可选)使用搜索栏查找特定的依赖项或一组依赖项。 可以使用关键字 ecosystem: 来仅显示某种类型的包,使用关键字 relationship: 来仅显示直接依赖项或可传递依赖项(如果生态系统支持可传递性)。 搜索栏中的纯单词仅与包名称匹配。

企业所有者可以在企业级别配置依赖项关系图。 有关详细信息,请参阅“为企业启用依赖项关系图”。

依赖项视图

在仓库的清单或锁定文件中指定的任何直接或间接依赖项都会被列出。

使用 依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。 有关使用 依赖项提交 API 的详细信息,请参阅 使用依赖项提交 API

如果在仓库中检测到漏洞,这些漏洞将显示在视图顶部,供有权访问 Dependabot alerts 的用户查看。

注意

GitHub Enterprise Server 不会填充“依赖项”**** 视图。

延伸阅读

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)

  •           [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)