Dependency graph

You can use the dependency graph to identify all your project's dependencies. The dependency graph supports a range of popular package ecosystems.

¿Quién puede utilizar esta característica?

El gráfico de dependencias está disponible para los siguientes tipos de repositorio:

  • Repositorios públicos (activado de manera predeterminada)
  • Los repositorios privados
  • Horquillas

En este artículo

About the dependency graph

El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra:

  • Las dependencias, ecosistemas y paquetes de los cuales depende
  • Dependientes, los repositorios y paquetes que dependen de él

Para cada dependencia, puedes ver la versión, información de licencia, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. Para los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y puedes hacer clic en "", luego "Mostrar rutas de acceso", para ver la ruta transitiva que trajo a la dependencia.

También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con paquetes vulnerables en la parte superior.

For information on the supported ecosystems and manifest files, see Ecosistemas de paquetes que soportan el gráfico de dependencias.

When you create a pull request containing changes to dependencies that targets the default branch, GitHub uses the dependency graph to add dependency reviews to the pull request. These indicate whether the dependencies contain vulnerabilities and, if so, the version of the dependency in which the vulnerability was fixed. For more information, see Dependency review.

How the dependency graph is built

The dependency graph automatically parses dependencies by analyzing manifests and lock files in your repository. You can also submit data yourself. For more information, see Cómo reconoce el gráfico de dependencias las dependencias.

Dependency graph availability

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. For more information, see Administración de la configuración de seguridad y análisis para el repositorio.

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. See Habilitar el gráfico de dependencias.

Dependents and "used by" data

For public repositories, the dependency graph lists dependents. These are other public repositories that depend on the repository or on packages that it publishes. This information is not reported for private repositories.

Algunos repositorios tienen una sección "Usada por" en la barra lateral de la pestaña Código . En esta sección se muestra el número de referencias públicas a un paquete que se encontraron y se muestran los avatares de algunos de los propietarios de los proyectos dependientes. Clicking any item in this section takes you to the Dependents tab of the dependency graph.

Your repository will have a "Used by" section if:

  • The dependency graph is enabled for the repository.
  • Your repository contains a package that is published on a supported package ecosystem. See Ecosistemas de paquetes que soportan el gráfico de dependencias.
  • Within the ecosystem, your package has a link to a public repository where the source is stored.
  • More than 100 repositories depend on your package.

Screenshot of the "Used by" section for a repository showing the summary of "13.4m" with details of 8 avatars and "+13,435,819."

The "Used by" section represents a single package from the repository. If you have admin permissions to a repository that contains multiple packages, you can choose which package the "Used by" section represents. See Cambio de los datos "usados por" de un repositorio.

What you can do with the dependency graph

You can use the dependency graph to:

Further reading