Grundlegendes zur Tabelle
Das Abhängigkeitsdiagramm unterstützt verschiedene Methoden zum Übermitteln von Daten für direkte und indirekte Abhängigkeiten (transitive). Weitere Informationen findest du unter AUTOTITLE.
In der folgenden Tabelle:
- Die statischen transitiven Abhängigkeiten und die automatische Abhängigkeitsübermittlung zeigen Ihnen unterstützte Methoden zum Senden von Daten.
- Die Spalte "Statische transitive Abhängigkeiten" gibt auch an, ob statische Analysen abhängige Pakete in diesem Ökosystem hinzufügen und beschriften.
- In der Spalte "Empfohlene Dateien " werden Formate vorgeschlagen, die explizit definieren, welche Versionen für alle direkten und alle indirekten Abhängigkeiten verwendet werden. Diese Dateien fixieren die Paketversionen auf diejenigen, die im Build enthalten sind, und ermöglicht es Dependabot, anfällige Versionen sowohl in direkten als auch in indirekten Abhängigkeiten zu finden.
Unterstützte Paketökosysteme
| Paket-Manager | Sprachen | Statische transitive Abhängigkeiten | Automatische Abhängigkeitsübermittlung | Empfohlene Dateien | Zusätzliche Dateien |
|---|---|---|---|---|---|
| Bazel | Starlark | , | , | ||
| Fracht | Rust | Cargo.lock | Cargo.toml | ||
| Composer | PHP | composer.lock | composer.json | ||
| NuGet | .NET Sprachen (C#, F#, VB), C++ | , , , , | packages.config | ||
| GitHub Actions-Workflows | YAML | , | |||
| Go-Module | Los geht's | go.mod | |||
| Gradle | Java | ||||
| Julia | Julia | Manifest.toml | Project.toml | ||
| Maven | Java, Scala | pom.xml | |||
| npm | JavaScript | package-lock.json | package.json | ||
| OpenTofu | HCL | .terraform.lock.hcl | , | ||
| pip | Python | , | , | ||
| pnpm | JavaScript | pnpm-lock.yaml | package.json | ||
| pub | Dart | pubspec.lock | pubspec.yaml | ||
| Poesie | Python | poetry.lock | pyproject.toml | ||
| RubyGems | Rubin | Gemfile.lock | , | ||
| Swift Paket-Manager | Schnell | Package.resolved | |||
| Yarn | JavaScript | yarn.lock | package.json |
Hinweis
- Wenn Sie Ihre Python Abhängigkeiten in einer
setup.pyDatei auflisten, können wir möglicherweise nicht jede Abhängigkeit in Ihrem Projekt analysieren und auflisten. - GitHub Actions-Workflows müssen sich im -Verzeichnis eines Repositorys befinden, um als Manifeste erkannt zu werden. Alle Aktionen oder Workflows, auf die mit der angegebenen Syntax verwiesen wird, werden als Abhängigkeiten analysiert. Weitere Informationen finden Sie unter AUTOTITLE.
- Für GitHub Actions werden Dependabot alerts nur für Aktionen generiert, die semantische Versionierung verwenden, nicht für SHA-Versionierung. Weitere Informationen findest du unter AUTOTITLE und AUTOTITLE.
Von der Gemeinschaft verwaltete Ökosysteme
Die folgenden Ökosysteme werden von ihren vorgelagerten Community-Betreuern gepflegt. GitHub integriert Dependabot mit diesen Ökosystemen, verwaltet sie jedoch nicht direkt.
| Ökosystem | Gepflegt von |
|---|---|
| Julia | Julia Community |
| OpenTofu | OpenTofu Community |
| pub | Dart-Community |