Acerca del gráfico de dependencias
El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra:
- Las dependencias, ecosistemas y paquetes de los cuales depende
- Dependientes, los repositorios y paquetes que dependen de él
Para cada dependencia, puedes ver la versión, información de licencia, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. En el caso de los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y el botón de divulgación ... mostrará la ruta transitiva que trajo a la dependencia. Para obtener más información sobre la compatibilidad con dependencias transitivas, consulta Ecosistemas de paquetes admitidos para el gráfico de dependencias.
También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con vulnerabilidades en la parte superior.
Para más información, consulta Acerca del gráfico de dependencias.
Configuración del gráfico de dependencias
Para generar un gráfico de dependencias, GitHub necesita acceso de solo lectura a los archivos de manifiesto de dependencias y de bloqueo de un repositorio. El gráfico de dependencias se genera de forma automática para todos los repositorios públicos. Puedes habilitarlo también para los repositorios privados y las bifurcaciones públicas. Para más información sobre cómo ver el gráfico de dependencias, consulta Explorar las dependencias de un repositorio.
De manera adicional, puede usar API de envío de dependencias para enviar dependencias desde el administrador de paquetes o el ecosistema que prefiera, incluso si el ecosistema no es compatible con el gráfico de dependencias para el análisis del archivo de manifiesto o de bloqueo. Las dependencias enviadas a un proyecto mediante la API de envío de dependencias mostrarán qué detector se ha usado para su envío y cuándo se han enviado. Para obtener más información sobre API de envío de dependencias, consulta Uso de la Dependency submission API.
Habilitación y deshabilitación del gráfico de dependencias
Los administradores del repositorio pueden habilitar o deshabilitar la gráfica de dependencias para los repositorios privados , o las bifurcaciones públicas.
También puede habilitar o inhabilitar la gráfica de dependencias para todos los repositorios que pertenecen a su cuenta de usuario u organización. Para más información, consulta Administración de la configuración de seguridad y análisis para la cuenta personal.
También puedes habilitar el gráfico de dependencias para varios repositorios de una organización al mismo tiempo. Para obtener más información, consulta Protección de la organización.
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Seguridad" de la barra lateral, haga clic en Advanced Security.
-
Lee el mensaje sobre otorgar acceso de solo lectura a GitHub para los datos del repositorio para poder habilitar el gráfico de dependencias. A continuación, haz clic en Enable junto a "Dependency Graph".
Para deshabilitar el gráfico de dependencias en cualquier momento, haz clic en Deshabilitar junto a "Gráfico de dependencias" en la página de configuración de "Advanced Security".
Cuando la gráfica de dependencias se habilita por primera vez, cualquier manifiesto y archivo de bloqueo para los ecosistemas compatibles se pasarán de inmediato. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Una vez que está habilitado, el gráfico se actualiza automáticamente con cada inserción en el repositorio y con cada inserción en otros repositorios del gráfico.