테이블을 이해하기
종속성 그래프는 직접 및 간접(전이적) 종속성을 위해 데이터를 제출하는 다양한 방법을 지원합니다. 종속성 그래프에서 종속성을 인식하는 방법을(를) 참조하세요.
아래 표에:
- 정적 전이적 종속성, Dependabot 그래프 작업(현재 사용할 수 없음GitHub Enterprise Server) 및 자동 종속성 제출 열에는 지원되는 데이터 제출 방법이 표시됩니다.
- 정적 전이적 종속성 열은 정적 분석에서 해당 에코시스템의 종속 패키지에 대한 레이블을
direct추가할transitive지 여부도 나타냅니다. - 그래프 작업 열은 Dependabot 자체 작업 인프라를 사용하여 종속성 그래프를 생성할 수 있는지 여부를 Dependabot 나타냅니다. 지원되는 경우 이 메서드는 자동 종속성 제출보다 우선합니다. 종속성 그래프에서 종속성을 인식하는 방법을(를) 참조하세요.
- 권장 파일 열은 모든 직접 및 모든 간접 종속성에 사용되는 버전을 명시적으로 정의하는 형식을 제안합니다. 이러한 파일은 빌드에 포함된 패키지 버전을 잠그고 Dependabot이 직접 및 간접 종속성 모두에서 취약한 버전을 찾을 수 있도록 합니다.
지원되는 패키지 에코시스템
| 패키지 관리자 | 언어들 | 정적 전이적 종속성 |
Dependabot 그래프 작업 | 자동 종속성을 제출 | 권장 파일 | 추가 파일 |
| --- | --- | --- | --- | --- | --- | --- |
| |
| 화물 | 러스트 | | | | Cargo.lock | Cargo.toml |
| 작성기 | PHP | | | | composer.lock | composer.json |
| 누겟 | .NET 언어(C#, F#, VB), C++ | | | |
.csproj, .vbproj, .nuspec, .vcxproj``.fsproj | packages.config |
| GitHub Actions 워크플로우 | YAML | | | |
.yml, .yaml | |
| Go 모듈 | 이동 | | | | go.mod| |
| Gradle | Java | | | | | |
| |
| 메이븐 | Java, Scala | | | | pom.xml | |
| npm | JavaScript | | | | package-lock.json | package.json|
| |
| pip | Python | | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | | pnpm-lock.yaml | package.json |
| 술집 | Dart | | | | pubspec.lock | pubspec.yaml |
| 시 | Python | | | | poetry.lock | pyproject.toml |
| RubyGems | 루비 | | | | Gemfile.lock |
Gemfile, *.gemspec |
| Swift 패키지 관리자 | Swift | | | | Package.resolved | |
| Yarn | JavaScript | | | | yarn.lock | package.json |
참고
*
setup.py 파일 내에 Python 종속성을 나열하는 경우 프로젝트의 모든 종속성을 구문 분석하고 나열하지 못할 수 있습니다.
*
GitHub Actions 워크플로는 매니페스트로 인식되려면 리포지토리 내의 .github/workflows/ 디렉터리에 있어야 합니다. 구문 jobs[*].steps[*].uses 또는 jobs.<job_id>.uses를 사용하여 참조되는 모든 작업 또는 워크플로는 종속성으로 구문 분석됩니다. 자세한 내용은 GitHub Actions에 대한 워크플로 구문을(를) 참조하세요.
*
GitHub Actions의 경우 SHA 버전 관리가 아닌 의미 체계 버전 관리 작업을 사용하는 작업에 대해서만 경고가 생성됩니다. 자세한 내용은 AUTOTITLE 및 AUTOTITLE 을 참조 하세요.