Noções básicas sobre a tabela
O grafo de dependência dá suporte a diferentes métodos de envio de dados para dependências diretas e indiretas (transitivas). Confira AUTOTITLE.
Na tabela abaixo:
- "As 'Dependências Transitivas Estáticas' e o 'Envio Automático de Dependência' mostram métodos compatíveis para enviar dados."
- A coluna de dependências transitivas estáticas também indica se a análise estática adicionará e rotulará os pacotes dependentes nesse ecossistema.
- A coluna de arquivos recomendados sugere formatos que definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Esses arquivos bloqueiam as versões do pacote para as incluídas no build e permitem que o Dependabot encontre versões vulneráveis em dependências diretas e indiretas.
Ecossistemas de pacotes com suporte
| Gerenciador de pacotes | Idiomas | Dependências transitivas estáticas | Envio automático de dependência | Arquivos recomendados | Arquivos adicionais |
|---|---|---|---|---|---|
| Cargo | Rust | Cargo.lock | Cargo.toml | ||
| Composer | PHP | composer.lock | composer.json | ||
| NuGet | .NET idiomas (C#, F#, VB), C++ | , , , , | packages.config | ||
| GitHub Actions fluxos de trabalho | YAML | , | |||
| Módulos Go | Go | go.mod | |||
| Gradle | Java | ||||
| Maven | Java, Scala | pom.xml | |||
| npm | JavaScript | package-lock.json | package.json | ||
| pip | Python | , | , | ||
| pnpm | JavaScript | pnpm-lock.yaml | package.json | ||
| pub | Dart | pubspec.lock | pubspec.yaml | ||
| Poesia | Python | poetry.lock | pyproject.toml | ||
| RubyGems | Ruby | Gemfile.lock | , | ||
| Gerenciador de Pacotes Swift | Swift | Package.resolved | |||
| Yarn | JavaScript | yarn.lock | package.json |
Observação
- Se você listar suas dependências de Python em um arquivo
setup.py, talvez não possamos analisar e listar todas as dependências em seu projeto. - Os fluxos de trabalho do GitHub Actions precisam estar localizados no diretório de um repositório para serem reconhecidos como manifestos. As ações ou os fluxos de trabalho referenciados com a sintaxe ou serão analisados como dependências. Para saber mais, confira AUTOTITLE.
- Para GitHub Actions, Dependabot alerts são gerados apenas para ações que usam controle de versão semântico, não controle de versão SHA. Para obter mais informações, confira AUTOTITLE e AUTOTITLE.