Esta versão do GitHub Enterprise Server será descontinuada em 2026-03-17. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Ecossistemas de pacotes com suporte a gráficos de dependência

O gráfico de dependências suporta uma variedade de ecossistemas.

Neste artigo

Noções básicas sobre a tabela

O grafo de dependência dá suporte a diferentes métodos de envio de dados para dependências diretas e indiretas (transitivas). Confira Como o grafo de dependência reconhece dependências.

Na tabela abaixo:

  • As dependências transitivas estáticas e o envio automático de dependência mostram métodos compatíveis para enviar dados.
  • A coluna dependências transitivas estáticas também indica se a análise estática adicionará rótulos direct e transitive para os pacotes dependentes nesse ecossistema.
  • A coluna de arquivos recomendados sugere formatos que definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Esses arquivos bloqueiam as versões do pacote para as incluídas no build e permitem que o Dependabot encontre versões vulneráveis em dependências diretas e indiretas.

Ecossistemas de pacotes com suporte

Gerenciador de pacotesIdiomasDependências transitivas estáticasEnvio automático de dependênciaArquivos recomendadosArquivos adicionais
CargoRustCargo.lockCargo.toml
ComposerPHPcomposer.lockcomposer.json
NuGet.NET idiomas (C#, F#, VB), C++
          `.csproj`, `.vbproj`, `.nuspec`, , `.vcxproj``.fsproj` | `packages.config` |

| GitHub Actions fluxos de trabalho | YAML | | | .yml, .yaml | | | Módulos Go | Go | | | go.mod| | | Gradle | Java | | | | | | | | Maven | Java, Scala | | | pom.xml | | | npm | JavaScript | | | package-lock.json | package.json| | | | pip | Python | | | requirements.txt, pipfile.lock | pipfile, setup.py | | pnpm | JavaScript | | | pnpm-lock.yaml | package.json | | pub | Dart | | | pubspec.lock | pubspec.yaml | | Poesia | Python | | | poetry.lock | pyproject.toml | | RubyGems | Ruby | | | Gemfile.lock | Gemfile, *.gemspec | | Gerenciador de Pacotes Swift | Swift | | | Package.resolved | | | Yarn | JavaScript | | | yarn.lock | package.json |

Observação

  • Se você listar suas dependências de Python em um arquivo setup.py, talvez não possamos analisar e listar todas as dependências em seu projeto.
  • Os fluxos de trabalho do GitHub Actions precisam estar localizados no diretório .github/workflows/ de um repositório para serem reconhecidos como manifestos. As ações ou os fluxos de trabalho referenciados com a sintaxe jobs[*].steps[*].uses ou jobs.<job_id>.uses serão analisados como dependências. Para saber mais, confira Sintaxe de fluxo de trabalho para o GitHub Actions.
  • Para GitHub Actions, Dependabot alerts são gerados apenas para ações que usam controle de versão semântico, não controle de versão SHA. Para obter mais informações, consulte Sobre alertas do Dependabot e Sobre as atualizações da versão do Dependabot.