Comprendre la table
Le graphique de dépendances prend en charge différentes méthodes d’envoi de données pour les dépendances directes et indirectes (transitives). Consultez « Comment le graphique de dépendances reconnaît les dépendances ».
Dans le tableau ci-dessous :
- Les dépendances transitives statiques, les tâches de graphe (actuellement non disponibles pour GitHub Enterprise Server), et les colonnes de soumission de dépendances automatiques indiquent les méthodes prises en charge pour l’envoi de données.
- La colonne dépendances transitives statiques indique également si l'analyse statique va ajouter des étiquettes
directettransitiveaux packages dépendants dans cet écosystème. - La Dependabot colonne travaux de graphe indique si Dependabot peut générer des graphes de dépendance à l’aide de sa propre infrastructure de travail. Lorsqu’elle est prise en charge, cette méthode est prioritaire sur la soumission automatique de dépendances. Consultez « Comment le graphique de dépendances reconnaît les dépendances ».
- La colonne Fichiers recommandés suggère des formats qui définissent explicitement les versions utilisées pour toutes les dépendances directes et indirectes. Ces fichiers verrouillent les versions de package à celles incluses dans la build et permettent à Dependabot de rechercher des versions vulnérables dans les dépendances directes et indirectes.
Écosystèmes de packages pris en charge
| Gestionnaire de paquets | Langues | Dépendances transitives statiques |
Dependabot Tâches de traitement de graphes | Envoi automatique des dépendances | Fichiers recommandés | Fichiers supplémentaires |
| --- | --- | --- | --- | --- | --- | --- |
| |
| Bazel | Starlark | | | |
MODULE.bazel, WORKSPACE |
MODULE.bazel.lock
maven_install.json
*.MODULE.bazel
|
| |
| Cargo | Rust | | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | | composer.lock | composer.json |
| NuGet | langages .NET (C#, F#, VB), C++ | | | |
.csproj, .vbproj, , .nuspec, .vcxproj, .fsproj | packages.config |
| GitHub Actions Flux de travail | YAML | | | |
.yml, .yaml | |
| Modules Go | Allez | | | | go.mod| |
| Gradle | Java | | | | | |
| |
| Julia | Julia | | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | | pom.xml | |
| npm | JavaScript | | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| pip | Python | | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | | pubspec.lock | pubspec.yaml |
| Poésie | Python | | | | poetry.lock | pyproject.toml |
| RubyGems | Ruby | | | | Gemfile.lock |
Gemfile, *.gemspec |
| Gestionnaire de package Swift | Swift | | | | Package.resolved | |
| Yarn | JavaScript | | | | yarn.lock | package.json |
Remarque
- Si vous répertoriez vos dépendances Python dans un fichier
setup.py, nous ne pouvons peut-être pas analyser et répertorier chaque dépendance dans votre projet.
GitHub Actions les flux de travail doivent se trouver dans le répertoire `.github/workflows/` d’un référentiel pour être reconnus comme manifestes. Toutes les actions ou workflows référencés avec la syntaxe `jobs[*].steps[*].uses` ou `jobs.<job_id>.uses` sont analysés en tant que dépendances. Pour plus d’informations, consultez « [AUTOTITLE](/actions/using-workflows/workflow-syntax-for-github-actions) ».
Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA. Pour plus d’informations, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) et [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates).
Écosystèmes gérés par la communauté
Les écosystèmes suivants sont maintenus par leurs gardiens de la communauté en amont. GitHub intègre Dependabot avec ces écosystèmes, mais ne les gère pas directement.
| Écosystème | Géré par |
|---|---|
| Julia | Communauté Julia |
| OpenTofu | Communauté OpenTofu |
| pub | Communauté Dart |