Descripción de la tabla
El gráfico de dependencias admite diferentes métodos de envío de datos para dependencias directas e indirectas (transitivas). Consulta Cómo reconoce el gráfico de dependencias las dependencias.
En la tabla siguiente:
- Las dependencias transitivas estáticas, Dependabot tareas de gráficos (actualmente no disponibles para GitHub Enterprise Server), y las columnas de envío automático de dependencias mostrarán los métodos admitidos para enviar datos.
- La columna Dependencias transitivas estáticas también indica si el análisis estático agregará
directetiquetas ytransitiveetiquetas para los paquetes dependientes de ese ecosistema. - La Dependabot columna tareas de grafo indica si Dependabot puede generar grafos de dependencia mediante su propia infraestructura de tareas. Cuando se admite, este método tiene prioridad sobre el envío automático de dependencias. Consulta Cómo reconoce el gráfico de dependencias las dependencias.
- La columna Archivos recomendados sugiere formatos que definen explícitamente qué versiones se usan para todas las dependencias directas y indirectas. Estos archivos bloquean las versiones del paquete en las incluidas en la compilación y permiten a Dependabot encontrar versiones vulnerables en dependencias directas e indirectas.
Ecosistemas de paquetes compatibles
| Administrador de paquetes | Idiomas | Dependencias transitivas estáticas |
Dependabot tareas de procesamiento de grafos | Envío automático de dependencias | Archivos recomendados | Archivos adicionales |
| --- | --- | --- | --- | --- | --- | --- |
| |
| Bazel | Starlark | | | |
MODULE.bazel, WORKSPACE |
MODULE.bazel.lock, , maven_install.json, *.MODULE.bazel |
| |
| Cargo | Óxido | | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | | composer.lock | composer.json |
| NuGet | .NET lenguajes (C#, F#, VB), C++ | | | |
.csproj, .vbproj, .nuspec, , .vcxproj, .fsproj | packages.config |
| GitHub Actions flujos de trabajo | YAML | | | |
.yml, .yaml | |
| Módulos de Go | Go | | | | go.mod| |
| Gradle | Java | | | | | |
| |
| Julia | Julia | | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | | pom.xml | |
| npm | JavaScript | | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| pip | Python | | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | | pubspec.lock | pubspec.yaml |
| Poesía | Python | | | | poetry.lock | pyproject.toml |
| RubyGems | Rubí | | | | Gemfile.lock |
Gemfile, *.gemspec |
| Administrador de paquetes Swift | Swift | | | | Package.resolved | |
| Yarn | JavaScript | | | | yarn.lock | package.json |
Nota:
- Si enumera las dependencias de Python en un archivo
setup.py, es posible que no podamos analizar y enumerar todas las dependencias de su proyecto.
GitHub Actions Los flujos de trabajo deben encontrarse en el `.github/workflows/` directorio de un repositorio para que se reconozcan como manifiestos. Las acciones o flujos de trabajo a los que se hace referencia mediante la sintaxis `jobs[*].steps[*].uses` o `jobs.<job_id>.uses` se analizarán como dependencias. Para más información, consulta [AUTOTITLE](/actions/using-workflows/workflow-syntax-for-github-actions).
Para GitHub Actions, las alertas solo se generan para las acciones que usan el control de versiones semántico, no el control de versiones SHA. Para obtener más información, consulte [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) y [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates).
Ecosistemas mantenidos por la comunidad
Sus mantenedores comunitarios ascendentes mantienen los siguientes ecosistemas. GitHub integra Dependabot con estos ecosistemas sin mantenerlos directamente.
| Ecosistema | Mantenido por |
|---|---|
| Julia | Comunidad de Julia |
| OpenTofu | Comunidad de OpenTofu |
| pub | Comunidad Dart |