Sobre el gráfico de dependencias

Puedes utilizar la gráfica de dependencias para identificar todas las dependencias de tus proyectos. La gráfica de dependencias es compatible con una variedad de ecosistemas de paquetes populares.

¿Quién puede utilizar esta característica?

El gráfico de dependencias está disponible para los siguientes tipos de repositorio:

  • Repositorios públicos (activado de manera predeterminada)
  • Los repositorios privados
  • Horquillas

En este artículo

Sobre el gráfico de dependencias

Al insertar una confirmación en GitHub que cambie o agregue un archivo de bloqueo o de manifiesto admitido en la rama predeterminada, el gráfico de dependencias se actualizará de forma automática. Además, el gráfico se actualiza cuando alguien inserta un cambio en el repositorio de una de las dependencias.

Para obtener más información sobre los ecosistemas y archivos de manifiesto compatibles, consulte Ecosistemas de paquetes admitidos para el gráfico de dependencias.

Puede usar API de envío de dependencias para enviar dependencias desde el administrador de paquetes o el ecosistema de su elección, aunque ese ecosistema no sea compatible con el gráfico de dependencias para el análisis de archivos de manifiesto o de bloqueo. Las dependencias enviadas a un proyecto mediante la API de envío de dependencias mostrarán qué detector se ha usado para su envío y cuándo se han enviado. Para obtener más información sobre API de envío de dependencias, consulte Uso de la Dependency submission API.

Cuando creas una solicitud de cambios que contenga los cambios de las dependencias que apuntan a la rama predeterminada, GitHub utiliza la gráfica de dependencias para agregar revisiones de dependencia a la solicitud de cambios. Estas indican si las dependencias contendrán vulnerabilidades y, si es el caso, la versión de la dependencia en la cual se arregló la vulnerabilidad. Para más información, consulta Acerca de la revisión de dependencias.

Disponibilidad de la gráfica de dependencias

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. Para obtener más información, consulta Administración de la configuración de seguridad y análisis para el repositorio.

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. Consulta Habilitar el gráfico de dependencias.

Dependencias que se incluyen

El gráfico de dependencias incluye todas las dependencias de un repositorio que se detallan en los archivos de manifiesto y bloqueo, o su equivalente, para los ecosistemas admitidos, así como las dependencias que se envían mediante API de envío de dependencias. Esto incluye:

  • Las dependencias directas, que se definen explícitamente en un archivo de manifiesto o bloqueo o que se han enviado mediante API de envío de dependencias
  • Las dependencias indirectas de estas dependencias directas, también conocidas como dependencias transitorias o sub-dependencias

El gráfico de dependencias identifica dependencias indirectas solo si se definen en un archivo de bloqueo o se han enviado mediante API de envío de dependencias. Para la gráfica más confiable, debes utilizar archivos de bloqueo (o su equivalente), ya que estos definen exactamente qué versiones de las dependencias directas e indirectas estás utilizando actualmente. Si utilizas archivos de bloqueo, también te aseguras de que todos los contribuyentes del repositorio están utilizando las mismas versiones, lo cual te facilitará el probar y depurar el código. Si el ecosistema no tiene archivos de bloqueo, puede usar acciones realizadas previamente que resuelven dependencias transitivas para muchos ecosistemas. Para más información, consulta Uso de la Dependency submission API.

Para obtener más información sobre cómo GitHub le ayuda a comprender las dependencias de su entorno, consulte Acerca de la seguridad de la cadena de suministro.

Datos dependientes y "usados por"

En el caso de los repositorios públicos, el gráfico de dependencias enumera los dependientes. Estos son otros repositorios públicos que dependen del repositorio o de los paquetes que publica. Esta información no se notifica para repositorios privados.

Algunos repositorios tienen una sección "Usada por" en la barra lateral de la pestaña Código . En esta sección se muestra el número de referencias públicas a un paquete que se encontraron y se muestran los avatares de algunos de los propietarios de los proyectos dependientes. Al hacer clic en cualquier elemento de esta sección, se le lleva a la pestaña Dependientes del gráfico de dependencias.

El repositorio tendrá una sección "Usada por" si:

  • El gráfico de dependencias está habilitado para el repositorio.
  • El repositorio contiene un paquete que se publica en un ecosistema de paquetes compatible. Consulta Ecosistemas de paquetes admitidos para el gráfico de dependencias.
  • Dentro del ecosistema, su paquete tiene un vínculo a un repositorio público donde se almacena el origen.
  • Más de 100 repositorios dependen del paquete.

Captura de pantalla de la sección "Usado por" de un repositorio que muestra el resumen "13.4m" con detalles de 8 avatares y "+13 435 819".

La sección de "Utilizado por" representa un solo paquete del repositorio. Si tienes permisos de administrador en un repositorio que contenga paquetes múltiples, puedes elegir qué paquete reporesenta la sección de "Utilizado por". Consulta Cambio de los datos "usados por" de un repositorio.

Qué puede hacer con el gráfico de dependencias

Puedes utilizar la gráfica de dependencias para:

Lectura adicional

  •         [Gráfico de dependencias](https://en.wikipedia.org/wiki/Dependency_graph) en Wikipedia

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/exploring-the-dependencies-of-a-repository)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)