Comment le graphique de dépendances reconnaît les dépendances

Le graphique de dépendance analyse automatiquement les fichiers manifestes. Vous pouvez envoyer des données pour les dépendances qui ne peuvent pas être détectées automatiquement.

Qui peut utiliser cette fonctionnalité ?

La graphe des dépendances est disponible pour tous les référentiels.

Dans cet article

Le graphique de dépendances peut identifier les dépendances de votre projet à l’aide des méthodes suivantes.

MéthodeFonctionnement
          **Analyse statique** | Analyse le manifeste et verrouille les fichiers dans votre référentiel |

| | | | API de soumission de dépendances | Accepte les données de dépendance que vous soumettez par programmation |

Une fois que les dépendances se trouvent dans le graphique, vous pouvez recevoir Dependabot alerts et Dependabot security updates pour toutes les vulnérabilités connues.

Analyse statique

Lorsque vous activez le graphique de dépendances, GitHub analyse votre référentiel pour rechercher les fichiers manifeste pris en charge et analyse le nom et la version de chaque package. Le graphique est mis à jour lorsque vous modifiez un manifeste ou un fichier de verrouillage pris en charge sur votre branche par défaut.

L’analyse statique peut identifier :

  •         **Dépendances directes** explicitement définies dans un manifeste ou un fichier de verrouillage

  •         **Dépendances indirectes : dépendances** de ces dépendances directes, également appelées « dépendances transitives », mais uniquement si elles sont définies dans un manifeste ou un fichier de verrouillage, et non si elles sont résolues au moment de la génération

Pour le graphique le plus fiable, vous devez utiliser des fichiers de verrouillage (ou leur équivalent), car ils définissent exactement les versions des dépendances directes et indirectes que vous utilisez actuellement. Les fichiers de verrouillage garantissent également que tous les contributeurs au référentiel utilisent les mêmes versions, ce qui facilite le test et le débogage du code.

La API de soumission de dépendances

Vous pouvez invoquer API de soumission de dépendances depuis votre propre script ou workflow. Cela est utile si :

  • Vous devez envoyer des dépendances transitives qui ne peuvent pas être détectées à partir de fichiers de verrouillage.
  • Vous devez créer une logique personnalisée ou utiliser un système CI/CD externe.

Les dépendances sont soumises à l’API API de soumission de dépendances sous la forme d’un instantané. Il s’agit d’une liste de dépendances associées à un SHA de commit ainsi qu’à d’autres métadonnées, reflétant l’état actuel de votre référentiel.

Si vous appelez l’API dans un flux de travail GitHub Actions , vous pouvez utiliser une action prédéfinie pour votre écosystème qui collecte automatiquement les dépendances et les envoie à l’API. Sinon, vous pouvez écrire votre propre action ou appeler l’API à partir d’un système externe.

Les dépendances soumises sont pas disponibles dans les insights de dépendance de votre organisation.

Pour plus d’informations, consultez « Utilisation de l’API de soumission de dépendances ».

Hiérarchisation