Sobre el gráfico de dependencias

Puedes utilizar la gráfica de dependencias para identificar todas las dependencias de tus proyectos. La gráfica de dependencias es compatible con una variedad de ecosistemas de paquetes populares.

¿Quién puede utilizar esta característica?

El gráfico de dependencias está disponible para todos los repositorios.

En este artículo

Sobre el gráfico de dependencias

Al insertar una confirmación en GitHub que cambie o agregue un archivo de bloqueo o de manifiesto admitido en la rama predeterminada, el gráfico de dependencias se actualizará de forma automática.

Para obtener más información sobre los ecosistemas y archivos de manifiesto compatibles, consulte Ecosistemas de paquetes admitidos para el gráfico de dependencias.

Puede usar API de envío de dependencias para enviar dependencias desde el administrador de paquetes o el ecosistema de su elección, aunque ese ecosistema no sea compatible con el gráfico de dependencias para el análisis de archivos de manifiesto o de bloqueo. Las dependencias enviadas a un proyecto mediante la API de envío de dependencias mostrarán qué detector se ha usado para su envío y cuándo se han enviado. Para obtener más información sobre API de envío de dependencias, consulte Uso de la Dependency submission API.

Cuando creas una solicitud de cambios que contenga los cambios de las dependencias que apuntan a la rama predeterminada, GitHub utiliza la gráfica de dependencias para agregar revisiones de dependencia a la solicitud de cambios. Estas indican si las dependencias contendrán vulnerabilidades y, si es el caso, la versión de la dependencia en la cual se arregló la vulnerabilidad. Para más información, consulta Acerca de la revisión de dependencias.

Si tienes al menos acceso de lectura al repositorio, puedes exportar el gráfico de dependencias del repositorio como una la lista de materiales de software (SBOM) compatible con SPDX, a través de la interfaz de usuario de GitHub o la API REST de GitHub. Para más información, consulta Exportación de una lista de materiales de software para el repositorio.

Disponibilidad de la gráfica de dependencias

Los propietarios de la empresa pueden configurar el gráfico de dependencias y las Dependabot alerts para una empresa. Para más información, consulta Habilitación del gráfico de dependencias para la empresa y Habilitación de Dependabot para la empresa.

Para obtener más información sobre la configuración del gráfico de dependencias, consulte Habilitar el gráfico de dependencias.

Dependencias que se incluyen

El gráfico de dependencias incluye todas las dependencias de un repositorio que se detallan en los archivos de manifiesto y bloqueo, o su equivalente, para los ecosistemas admitidos, así como las dependencias que se envían mediante API de envío de dependencias. Esto incluye:

  • Las dependencias directas, que se definen explícitamente en un archivo de manifiesto o bloqueo o que se han enviado mediante API de envío de dependencias
  • Las dependencias indirectas de estas dependencias directas, también conocidas como dependencias transitorias o sub-dependencias

El gráfico de dependencias identifica dependencias indirectas de los archivos de bloqueo. Si el ecosistema no tiene archivos de bloqueo, puede usar acciones realizadas previamente que resuelven dependencias transitivas para muchos ecosistemas. Para más información, consulta Uso de la Dependency submission API.

Para obtener más información sobre cómo GitHub le ayuda a comprender las dependencias de su entorno, consulte Acerca de la seguridad de la cadena de suministro.

Qué puede hacer con el gráfico de dependencias

Puedes utilizar la gráfica de dependencias para:

Lectura adicional

  •         [Gráfico de dependencias](https://en.wikipedia.org/wiki/Dependency_graph) en Wikipedia

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)