Esta versión de GitHub Enterprise Server se discontinuará el 2026-03-17. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Ecosistemas de paquetes que soportan el gráfico de dependencias

El gráfico de dependencias admite diversos ecosistemas.

En este artículo

Descripción de la tabla

El gráfico de dependencias admite diferentes métodos de envío de datos para dependencias directas e indirectas (transitivas). Consulta Cómo reconoce el gráfico de dependencias las dependencias.

En la tabla siguiente:

  • Las dependencias transitivas estáticas y el envío automático de dependencias muestran los métodos admitidos para enviar datos.
  • La columna Dependencias transitivas estáticas también indica si el análisis estático agregará direct etiquetas y transitive etiquetas para los paquetes dependientes de ese ecosistema.
  • La columna Archivos recomendados sugiere formatos que definen explícitamente qué versiones se usan para todas las dependencias directas y indirectas. Estos archivos bloquean las versiones del paquete en las incluidas en la compilación y permiten a Dependabot encontrar versiones vulnerables en dependencias directas e indirectas.

Ecosistemas de paquetes compatibles

Administrador de paquetesIdiomasDependencias transitivas estáticasEnvío automático de dependenciasArchivos recomendadosArchivos adicionales
CargoÓxidoCargo.lockCargo.toml
ComposerPHPcomposer.lockcomposer.json
NuGet.NET lenguajes (C#, F#, VB), C++
          `.csproj`, `.vbproj`, `.nuspec`, , `.vcxproj`, `.fsproj` | `packages.config` |

| Flujos de trabajo de GitHub Actions | YAML | | | .yml, .yaml | | | Módulos de Go | Go | | | go.mod| | | Gradle | Java | | | | | | | | Maven | Java, Scala | | | pom.xml | | | npm | JavaScript | | | package-lock.json | package.json| | | | pip | Python | | | requirements.txt, pipfile.lock | pipfile, setup.py | | pnpm | JavaScript | | | pnpm-lock.yaml | package.json | | pub | Dart | | | pubspec.lock | pubspec.yaml | | Poesía | Python | | | poetry.lock | pyproject.toml | | RubyGems | Rubí | | | Gemfile.lock | Gemfile, *.gemspec | | Swift Package Manager | Swift | | | Package.resolved | | | Yarn | JavaScript | | | yarn.lock | package.json |

Nota:

  • Si enumera las dependencias de Python en un archivo setup.py, es posible que no podamos analizar y enumerar todas las dependencias de su proyecto.
  • Los flujos de trabajo de GitHub Actions se deben ubicar en el directorio .github/workflows/ de un repositorio para que se reconozcan como manifiestos. Las acciones o flujos de trabajo a los que se hace referencia mediante la sintaxis jobs[*].steps[*].uses o jobs.<job_id>.uses se analizarán como dependencias. Para más información, consulta Sintaxis del flujo de trabajo para GitHub Actions.
  • Para GitHub Actions, Dependabot alerts solo se generan para acciones que usan el control de versiones semántico, no el control de versiones SHA. Para obtener más información, consulte Acerca de las alertas Dependabot y Acerca de las actualizaciones a la versión del Dependabot.