Понимание таблицы
Граф зависимостей поддерживает различные методы подачи данных для прямых и косвенных (транзитивных) зависимостей. См . раздел AUTOTITLE.
В таблице ниже:
-
**Статические транзитивные зависимости** и **автоматическая подача зависимостей** показывают поддерживаемые методы подачи данных. -
**Столбец «Статические транзитивные зависимости**» также показывает, будет ли статический анализ добавлять `direct` и `transitive` маркировать зависимые пакеты в этой экосистеме. - Столбец «Рекомендуемые файлы » предлагает форматы, которые явно определяют, какие версии используются для всех прямых и косвенных зависимостей. Эти файлы блокируют версии пакетов с теми, что включены в сборку, и позволяют Dependabot находить уязвимые версии как в прямых, так и в косвенных зависимостях.
Поддерживаемые экосистемы пакетов
| Диспетчер пакетов | Языки | Статические транзитивные зависимости | Автоматическая отправка зависимостей | Рекомендуемые файлы | Дополнительные файлы |
|---|---|---|---|---|---|
| Базель | Starlark |
`MODULE.bazel`, `WORKSPACE` |
`MODULE.bazel.lock`, `maven_install.json`, `*.MODULE.bazel` |
| |
| Груз | Rust | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | composer.lock | composer.json |
| NuGet | .NET (C#, F#, VB), C++ | | |
.csproj, .vbproj, , .nuspec, .vcxproj``.fsproj | packages.config |
| Рабочие процессы GitHub Actions | YAML | | |
.yml, .yaml | |
| Модули Go | Вперед | | | go.mod| |
| Gradle (Грэйдл) | Java | | | | |
| |
| Julia | Julia | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | pom.xml | |
| npm | JavaScript | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| пит | Python | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | pubspec.lock | pubspec.yaml |
| Поэзия | Python | | | poetry.lock | pyproject.toml |
| RubyGems | Руби | | | Gemfile.lock |
Gemfile, *.gemspec |
| Swift Package Manager | Swift | | | Package.resolved | |
| Yarn | JavaScript | | | yarn.lock | package.json |
Примечание.
- Если вы перечисляете свои Python зависимости в файле
setup.py, мы можем не иметь возможности разобрать и перечислить все зависимости в вашем проекте. - Рабочие процессы GitHub Actions должны находиться в
.github/workflows/каталоге репозитория для распознавания как манифестов. Любые действия или рабочие процессы, для ссылок на которые используется синтаксисjobs[*].steps[*].usesилиjobs.<job_id>.uses, будут анализироваться как зависимости. Дополнительные сведения см. в разделе Синтаксис рабочего процесса для GitHub Actions. - Для GitHub Actions, Dependabot alerts генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates).
Экосистемы, поддерживаемые сообществом
Следующие экосистемы поддерживаются их поддерживающими сообществами, расположенными выше по течению. GitHub интегрирует Dependabot с этими экосистемами, но не поддерживает их напрямую.
| Экосистема | Поддерживается |
|---|---|
| Julia | Сообщество Джулия |
| OpenTofu | Сообщество OpenTofu |
| pub | Сообщество дартс |