Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme

Grundlegendes zur Tabelle

Das Abhängigkeitsdiagramm unterstützt verschiedene Methoden zum Übermitteln von Daten für direkte und indirekte Abhängigkeiten (transitive). Weitere Informationen findest du unter Wie das Abhängigkeitsdiagramm Abhängigkeiten erkennt.

In der folgenden Tabelle:

• Die Spalten Statische transitive Abhängigkeiten, Graphaufträge (derzeit nicht verfügbar für GitHub Enterprise Server), und Automatische Abhängigkeitsübermittlung zeigen Ihnen unterstützte Methoden zum Senden von Daten.
• Die Spalte "Statische transitive Abhängigkeiten" gibt auch an, ob durch statische Analysen Labels für abhängige Pakete in diesem Ökosystem hinzugefügt und mit direct und transitive beschriftet werden.
• Die Dependabot Spalte "Diagrammaufträge " gibt an, ob Dependabot Abhängigkeitsdiagramme mithilfe einer eigenen Auftragsinfrastruktur generiert werden können. Wenn diese Methode unterstützt wird, hat diese Methode Vorrang vor der automatischen Abhängigkeitsübermittlung. Weitere Informationen findest du unter Wie das Abhängigkeitsdiagramm Abhängigkeiten erkennt.
• In der Spalte "Empfohlene Dateien " werden Formate vorgeschlagen, die explizit definieren, welche Versionen für alle direkten und alle indirekten Abhängigkeiten verwendet werden. Diese Dateien fixieren die Paketversionen auf diejenigen, die im Build enthalten sind, und ermöglicht es Dependabot, anfällige Versionen sowohl in direkten als auch in indirekten Abhängigkeiten zu finden.

Unterstützte Paketökosysteme

| Paket-Manager | Sprachen | Statische transitive Abhängigkeiten | Dependabot Diagrammaufträge | Automatische Abhängigkeitsübermittlung | Empfohlene Dateien | Zusätzliche Dateien | | --- | --- | --- | --- | --- | --- | --- | | | | Bazel | Starlark | | | | MODULE.bazel, WORKSPACE | MODULE.bazel.lock, maven_install.json``*.MODULE.bazel | | | | Fracht | Rust | | | | Cargo.lock | Cargo.toml | | Composer | PHP | | | | composer.lock | composer.json | | NuGet | .NET Sprachen (C#, F#, VB), C++ | | | | .csproj, , .vbproj``.nuspec, , .vcxproj``.fsproj | packages.config | | GitHub Actions Arbeitsabläufe | YAML | | | | .yml, .yaml | | | Go-Module | Los geht's | | | | go.mod| | | Gradle | Java | | | | | | | | | Julia | Julia | | | | Manifest.toml | Project.toml | | | | Maven | Java, Scala | | | | pom.xml | | | npm | JavaScript | | | | package-lock.json | package.json| | | | OpenTofu | HCL | | | | .terraform.lock.hcl | .tf, .tofu | | | | pip | Python | | | | requirements.txt, pipfile.lock | pipfile, setup.py | | pnpm | JavaScript | | | | pnpm-lock.yaml | package.json | | pub | Dart | | | | pubspec.lock | pubspec.yaml | | Poesie | Python | | | | poetry.lock | pyproject.toml | | RubyGems | Rubin | | | | Gemfile.lock | Gemfile, *.gemspec | | Swift Package Manager | Swift | | | | Package.resolved | | | Yarn | JavaScript | | | | yarn.lock | package.json |

          GitHub Actions Workflows müssen sich im `.github/workflows/` Verzeichnis eines Repositorys befinden, um als Manifeste erkannt zu werden. Alle Aktionen oder Workflows, auf die mithilfe der Syntax `jobs[*].steps[*].uses` oder `jobs.<job_id>.uses` verwiesen wird, werden als Abhängigkeiten analysiert. Weitere Informationen finden Sie unter [AUTOTITLE](/actions/using-workflows/workflow-syntax-for-github-actions).

          Bei GitHub Actions werden Warnungen nur für Aktionen generiert, die die semantische Versionierung verwenden, nicht für SHA-Versionierung. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) und [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates).

Von der Gemeinschaft verwaltete Ökosysteme

Die folgenden Ökosysteme werden von ihren vorgelagerten Community-Betreuern gepflegt. GitHub integriert Dependabot mit diesen Ökosystemen, verwaltet sie jedoch nicht direkt.

Ökosystem	Gepflegt von
Julia	Julia Community
OpenTofu	OpenTofu Community
pub	Dart-Community