Informationen zum Abhängigkeitsdiagramm

Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und gesperrten Dateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt:

Abhängigkeiten (die Ökosysteme und Pakete, von denen es abhängig ist)
Abhängige Elemente (die Repositorys und Pakete, die von ihm abhängig sind)

Für jede Abhängigkeit kannst du die Version, die Lizenzinformationen, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt, und du kannst auf „“ und dann auf „Show paths“ klicken, um den transitiven Pfad anzuzeigen, der die Abhängigkeit eingeführt hat.

Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen.

Wenn Sie einen Pushvorgang für ein Commit an GitHub ausführen, das eine unterstützte Manifest- oder Sperrdatei ändert oder der Standardverzweigung hinzufügt, wird das Abhängigkeitsdiagramm automatisch aktualisiert. Darüber hinaus wird das Diagramm aktualisiert, wenn eine Person einen Pushvorgang mit einer Änderung an das Repository einer Ihrer Abhängigkeiten ausführt.

Weitere Informationen zu den unterstützten Ökosystemen und Manifestdateien finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

Du kannst die Abhängigkeitsübermittlungs-API verwenden, um Abhängigkeiten aus dem Paketmanager oder der Infrastruktur deiner Wahl zu senden, auch wenn das Ökosystem nicht vom dependency graph für die Manifest- oder Lock-Datei-Analyse unterstützt wird. Abhängigkeiten, die mithilfe der Abhängigkeitsübermittlungs-API an ein Projekt übermittelt wurden, zeigen an, welcher Detektor für ihre Übermittlung verwendet wurde und wann sie übermittelt wurden. Weitere Informationen zur Abhängigkeitsübermittlungs-API findest du unter Verwenden der Abhängigkeitsübermittlungs-API.

Beim Erstellen einer Pullanforderung, die Änderungen an Abhängigkeiten enthält und auf den Standardbranch abzielt, verwendet GitHub das Abhängigkeitsdiagramm, um Abhängigkeitsüberprüfungen zur Pullanforderung hinzuzufügen. Diese geben an, ob die Abhängigkeiten Sicherheitsrisiken enthalten und zeigen ggf. die Version der Abhängigkeit an, in der die Sicherheitsanfälligkeit behoben wurde. Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung.

Verfügbarkeit von Abhängigkeitsdiagrammen

Repositoryadmins können das Abhängigkeitsdiagramm für Repositorys aktivieren oder deaktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Repositoryadmins können das Abhängigkeitsdiagramm für Repositorys aktivieren oder deaktivieren. Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms.

Abhängigkeiten enthalten

Das Abhängigkeitsdiagramm enthält alle Abhängigkeiten eines Repositorys, die im Manifest und in den Sperrdateien oder deren Entsprechungen für unterstützte Ökosysteme beschrieben werden, sowie alle Abhängigkeiten, die mittels Abhängigkeitsübermittlungs-API übermittelt werden. Dazu gehören:

Direkte Abhängigkeiten, die explizit in einer Manifest- oder Sperrdatei definiert sind oder mittels Abhängigkeitsübermittlungs-API übermittelt wurden
Indirekte Abhängigkeiten dieser direkten Abhängigkeiten, auch bekannt als transitive Abhängigkeiten oder Unterabhängigkeiten bezeichnet

Im Abhängigkeitsdiagramm werden indirekte Abhängigkeiten nur angegeben, wenn sie in einer Sperrdatei definiert sind oder mittels Abhängigkeitsübermittlungs-API übermittelt wurden. Für eine optimale Zuverlässigkeit des Diagramms solltest du Sperrdateien (oder deren Entsprechungen) verwenden, da sie genau definieren, welche Versionen der direkten und indirekten Abhängigkeiten derzeit verwendet werden. Wenn du Sperrdateien verwendest, stelle auch sicher, dass alle Mitwirkenden des Repositorys dieselben Versionen verwenden, wodurch es dir erleichtert wird, Code. Wenn es in Ihrem Ökosystem keine Sperrdateien gibt, können Sie vordefinierte Aktionen verwenden, die transitive Abhängigkeiten für zahlreiche Ökosysteme auflösen. Weitere Informationen finden Sie unter Verwenden der Abhängigkeitsübermittlungs-API.

Weitere Informationen dazu, wie GitHub Sie beim Verstehen der Abhängigkeiten in Ihrer Umgebung unterstützt, finden Sie unter Informationen zur Lieferkettensicherheit.

Abhängigkeiten und "verwendet von" Daten

Für öffentliche Repositorys listet das Abhängigkeitsdiagramm Abhängigkeiten auf. Dies sind andere öffentliche Repositorys, die vom Repository oder von Paketen abhängen, die es veröffentlicht. Diese Informationen werden für private Repositorys nicht gemeldet.

Einige Repositorys haben einen Abschnitt "Verwendet von" in der Randleiste der Registerkarte "Code ". Dieser Abschnitt zeigt die Anzahl der öffentlichen Verweise auf ein gefundenes Paket und zeigt die Avatare einiger Besitzer der abhängigen Projekte an. Wenn Sie auf ein element in diesem Abschnitt klicken, gelangen Sie zur Registerkarte "Abhängige Elemente" des Abhängigkeitsdiagramms .

Ihr Repository enthält einen Abschnitt "Verwendet von", wenn:

Das Abhängigkeitsdiagramm ist für das Repository aktiviert.
Ihr Repository enthält ein Paket, das in einem unterstützten Paketökosystem veröffentlicht wird. Weitere Informationen finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.
Innerhalb des Ökosystems verfügt dein Paket über einen Link zu einem öffentlichen Repository, in dem die Quelle gespeichert ist.
Mehr als 100 Repositorys sind von deinem Paket abhängig.

Ein Screenshot des Abschnitts „Verwendet von“ für ein Repository zeigt die Zusammenfassung von „13.4m“ mit Details zu 8 Avataren und „+13.435.819“.

Der Abschnitt „Verwendet von“ stellt ein einzelnes Paket aus dem Repository dar. Wenn du über Administratorberechtigungen für ein Repository verfügst, das mehrere Pakete enthält, kannst du auswählen, welches Paket im Abschnitt „Verwendet von“ angezeigt werden soll. Weitere Informationen finden Sie unter Ändern der "verwendet von" Daten für ein Repository.

Was Sie mit dem Abhängigkeitsdiagramm tun können

Du kannst das Abhängigkeitsdiagramm verwenden, um folgende Aktionen auszuführen:

Erkunden der Repositorys, von denen dein Code abhängig ist,, und denen, die von ihm abhängig sind. Weitere Informationen finden Sie unter Untersuchen der Abhängigkeiten eines Repositorys.
Anzeigen einer Zusammenfassung der in den Repositorys deiner Organisation verwendeten Abhängigkeiten in einem einzelnen Dashboard. Weitere Informationen findest du unter Erkenntnisse zu den Abhängigkeiten in Ihrer Organisation anzeigen.
Anzeigen und Aktualisieren von sicherheitsanfälligen Abhängigkeiten für dein Repository. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen.
Informationen zu sicherheitsanfälligen Abhängigkeiten in Pullanforderungen. Weitere Informationen finden Sie unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.
Exportieren Sie eine Software-Stückliste (SBOM) für Audit- oder Compliance-Zwecke. Dies ist ein formaler, maschinenlesbarer Bestand der Abhängigkeiten eines Projekts. Weitere Informationen finden Sie unter Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository.

Weiterführende Lektüre

        [Abhängigkeitsdiagramm](https://en.wikipedia.org/wiki/Dependency_graph) auf Wikipedia

        [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)

        [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

        [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)

Informationen zum Abhängigkeitsdiagramm

Wer kann dieses Feature verwenden?

In diesem Artikel