このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となりました: 2026-04-09. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

依存関係グラフがサポートされるパッケージ エコシステム

依存関係グラフは、さまざまなエコシステムをサポートしています。

この記事で

テーブルの理解

依存関係グラフでは、直接的および間接的 (推移的) の依存関係に対してデータを送信するさまざまな方法がサポートされています。 「依存関係グラフが依存関係を認識する方法」を参照してください。

次の表に示します。

  • 静的推移的依存関係Dependabotグラフ ジョブ (現在はGitHub Enterprise Serverでは使用できません)、自動依存関係の送信列には、データを送信するためのサポートされているメソッドが示されています。
  • 静的 推移的依存関係 列は、静的分析によって、そのエコシステム内の依存パッケージの direct ラベルと transitive ラベルが追加されるかどうかを示します。
          Dependabot グラフ ジョブ**列は、Dependabot独自のジョブ インフラストラクチャを使用して依存関係グラフを生成できるかどうかを示します。 サポートされている場合、このメソッドは依存関係の自動送信よりも優先されます。 「[AUTOTITLE](/code-security/concepts/supply-chain-security/dependency-graph-data#dependabot-graph-jobs)」を参照してください。
  • [推奨されるファイル] 列では、すべての直接依存関係とすべての間接依存関係に使用されるバージョンを明示的に定義する形式が提案されます。 これらのファイルは、ビルドに含まれるバージョンにパッケージのバージョンをロックし、Dependabot が直接依存関係と間接依存関係の両方で脆弱なバージョンを見つけられるようにします。

サポートされているパッケージ エコシステム

| パッケージ マネージャー | 言語 | 静的な推移的依存関係 | Dependabot グラフジョブ | 依存関係の自動送信 | 推奨ファイル | 追加ファイル | | --- | --- | --- | --- | --- | --- | --- | | | | 貨物 | Rust | | | | Cargo.lock | Cargo.toml | | Composer | PHP | | | | composer.lock | composer.json | | NuGet | .NET言語 (C#、F#、VB)、C++ | | | | .csproj.vbproj.nuspec.vcxproj.fsproj | packages.config | | GitHub Actions ワークフロー | YAML | | | | .yml.yaml | | | Go モジュール | Go | | | | go.mod| | | Gradle | Java | | | | | | | | | Maven | Java、Scala | | | | pom.xml | | | npm | JavaScript | | | | package-lock.json | package.json| | | | pip | Python | | | | requirements.txtpipfile.lock | pipfilesetup.py | | pnpm | JavaScript | | | | pnpm-lock.yaml | package.json | | pub | Dart | | | | pubspec.lock | pubspec.yaml | | 詩 | Python | | | | poetry.lock | pyproject.toml | | RubyGems | Ruby | | | | Gemfile.lock | Gemfile*.gemspec | | Swift パッケージ マネージャー | Swift | | | | Package.resolved | | | Yarn | JavaScript | | | | yarn.lock | package.json |

メモ

* setup.py ファイル内でPythonの依存関係を一覧表示した場合、プロジェクト内のすべての依存関係を解析して一覧表示できない可能性があります。 * GitHub Actions ワークフローをマニフェストとして認識するには、リポジトリの .github/workflows/ ディレクトリに配置する必要があります。 構文 jobs[*].steps[*].uses または jobs.<job_id>.uses を使用して参照されるアクションまたはワークフローは、依存関係として解析されます。 詳しくは、「GitHub Actions のワークフロー構文」をご覧ください。 * GitHub Actions、アラートは、SHA バージョン管理ではなく、セマンティック バージョン管理を使用するアクションに対してのみ生成されます。 詳細については、 Dependabot アラートについてGitHub Dependabot のバージョンアップデートについて を参照してください。