Sobre el gráfico de dependencias
El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra dependencias, los ecosistemas y paquetes de los cuales depende.
Para cada dependencia, puedes ver la versión, el archivo de manifiesto que la incluyó y si tiene vulnerabilidades conocidas. Para los ecosistemas de paquetes que admiten dependencias transitivas, se mostrará el estado de la relación y puedes hacer clic en "", luego "Mostrar rutas de acceso", para ver la ruta transitiva que trajo a la dependencia.
También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente con paquetes vulnerables en la parte superior.
GitHub no recupera la información de licencia para las dependencias, y no calcula la información sobre las dependencias, los repositorios y los paquetes que dependen de un repositorio.
Para obtener más información sobre los ecosistemas y archivos de manifiesto compatibles, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.
Cuando se crea una solicitud de incorporación de cambios que contiene cambios en las dependencias que tiene como destino la rama predeterminada, GitHub se usa el gráfico de dependencias para agregar revisiones de dependencia a la solicitud de incorporación de cambios. Estas indican si las dependencias contendrán vulnerabilidades y, si es el caso, la versión de la dependencia en la cual se arregló la vulnerabilidad. Para obtener más información, vea Revisión de dependencias.
Cómo se compila el gráfico de dependencias
El gráfico de dependencias analiza automáticamente las dependencias mediante el análisis de manifiestos y archivos de bloqueo en el repositorio. También puede enviar datos usted mismo. Para obtener más información, vea Cómo reconoce el gráfico de dependencias las dependencias.
Disponibilidad de la gráfica de dependencias
Los propietarios de la empresa pueden configurar el gráfico de dependencias y las Dependabot alerts para una empresa. Para más información, consulta Habilitación del gráfico de dependencias para la empresa y Habilitación de Dependabot para la empresa.
Para obtener más información sobre la configuración del gráfico de dependencias, consulte Habilitar el gráfico de dependencias.
Qué puede hacer con el gráfico de dependencias
Puedes utilizar la gráfica de dependencias para:
- Explora los repositorios de los que depende tu código. Para obtener más información, vea Explorar las dependencias de un repositorio.
- Ver y actualizar las dependencias vulnerables de tu repositorio. Para obtener más información, vea Dependabot alerts.
- Consulta la información sobre las dependencias vulnerables en las solicitudes de cambios. Para obtener más información, vea Revisar los cambios en las dependencias en un pull request.
- Exporte una lista de materiales de software (SBOM) con fines de auditoría o cumplimiento. Se trata de un inventario formal legible por máquina de las dependencias de un proyecto. Consulte Exportación de una lista de materiales de software para el repositorio.