Sobre o gráfico de dependências

Sobre o gráfico de dependências

O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra:

• As dependências, os ecossistemas e os pacotes do qual depende
• Os dependentes, os repositórios e os pacotes que dependem dele

Para cada dependência, você pode ver a versão, informações da licença, o arquivo de manifesto que a incluiu e se ela tem vulnerabilidades conhecidas. Para ecossistemas de pacotes que dão suporte a dependências transitivas, o status da relação será exibido e você poderá clicar em "", e em seguida em "Show paths" para ver o caminho transitivo que trouxe a dependência.

Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente com os pacotes vulneráveis na parte superior.

Para obter informações sobre os ecossistemas suportados e os arquivos de manifesto, consulte Ecossistemas de pacotes com suporte a gráficos de dependência.

Ao criar um pull request que contém alterações para dependências direcionadas ao branch padrão, GitHub usará o gráfico de dependências para adicionar revisões de dependências ao pull request. Eles indicam se as dependências contêm vulnerabilidades e, em caso afirmativo, a versão da dependência na qual a vulnerabilidade foi corrigida. Para saber mais, confira Sobre a análise de dependência.

Como o grafo de dependência é criado

O gráfico de dependência analisa automaticamente as dependências considerando manifestos e arquivos de bloqueio em seu repositório. Você também pode enviar dados por conta própria. Para saber mais, confira Como o grafo de dependência reconhece dependências.

Disponibilidade do gráfico de dependências

Os administradores de repositórios podem habilitar ou desabilitar o grafo de dependência em repositórios. Para obter mais informações, confira Gerenciando as configurações de segurança e análise do repositório.

Os administradores de repositórios podem habilitar ou desabilitar o grafo de dependência em repositórios. Confira Habilitar o grafo de dependência.

Dependentes e dados "utilizados por"

Para repositórios públicos, o grafo de dependência lista os dependentes. Esses são outros repositórios públicos que dependem do repositório ou dos pacotes que ele publica. Essas informações não são relatadas para repositórios privados.

Alguns repositórios têm uma seção "Usado por" na barra lateral da guia Código . Esta seção mostra o número de referências públicas a um pacote encontrado e exibe os avatares de alguns dos proprietários dos projetos dependentes. Clicar em qualquer item nesta seção leva você para a guia Dependentes do grafo de dependência.

Seu repositório terá uma seção "Usado por" se:

• O grafo de dependência está habilitado para o repositório.
• Seu repositório contém um pacote publicado em um ecossistema de pacotes com suporte. Confira Ecossistemas de pacotes com suporte a gráficos de dependência.
• Dentro dele, o pacote tiver um link para um repositório público em que o código-fonte é armazenado.
• Mais de 100 repositórios dependem do seu pacote.

A seção "Usado por" representa um único pacote do repositório. Se você tiver permissões de administrador em um repositório que contém vários pacotes, você poderá escolher qual pacote a seção "Usado por" representa. Confira Alterando os dados "usados por" de um repositório.

O que você pode fazer com o grafo de dependência

Você pode usar o gráfico de dependências para:

• Explore os repositórios dos quais o seu código depende e aqueles que dependem dele. Para saber mais, confira Explorar as dependências de um repositório.
• Visualizar um resumo das dependências usadas nos repositórios da sua organização em um único painel. Para saber mais, confira Visualização de insights sobre dependências em sua organização.
• Ver e atualizar dependências vulneráveis no seu repositório. Para saber mais, confira Sobre alertas do Dependabot.
• Veja as informações sobre dependências vulneráveis em pull requests. Para saber mais, confira Revisão de alterações de dependências em um pull request.
• Exportar uma lista de materiais de software (SBOM) para fins de auditoria ou conformidade. Esse é um inventário formal e legível por computador das dependências de um projeto. Confira Como exportar uma lista de materiais de software para seu repositório.

Leitura adicional

•         [Grafo de dependência](https://en.wikipedia.org/wiki/Dependency_graph) na Wikipédia
  

•         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)
  

•         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)
  

•         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)