Noções básicas sobre a tabela
O grafo de dependência dá suporte a diferentes métodos de envio de dados para dependências diretas e indiretas (transitivas). Confira Como o grafo de dependência reconhece dependências.
Na tabela abaixo:
- As dependências transitivas estáticas, Dependabot os trabalhos de grafo (atualmente não disponíveis para GitHub Enterprise Server) e as colunas de envio de dependência automática mostram métodos compatíveis para o envio de dados.
- A coluna dependências transitivas estáticas também indica se a análise estática adicionará rótulos
directetransitivepara os pacotes dependentes nesse ecossistema. - A Dependabot coluna tarefas de gráfico indica se Dependabot pode gerar grafos de dependência usando sua própria infraestrutura de tarefas. Quando há suporte, este método prevalece sobre a submissão automática de dependências. Confira Como o grafo de dependência reconhece dependências.
- A coluna de arquivos recomendados sugere formatos que definem explicitamente quais versões são usadas para todas as dependências diretas e indiretas. Esses arquivos bloqueiam as versões do pacote para as incluídas no build e permitem que o Dependabot encontre versões vulneráveis em dependências diretas e indiretas.
Ecossistemas de pacotes com suporte
| Gerenciador de pacotes | Idiomas | Dependências transitivas estáticas |
Dependabot tarefas de grafo | Envio automático de dependência | Arquivos recomendados | Arquivos adicionais |
| --- | --- | --- | --- | --- | --- | --- |
| |
| Bazel | Starlark | | | |
MODULE.bazel, WORKSPACE |
MODULE.bazel.lock
maven_install.json
*.MODULE.bazel
|
| |
| Cargo | Rust | | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | | composer.lock | composer.json |
| NuGet | .NET idiomas (C#, F#, VB), C++ | | | |
.csproj, .vbproj, .nuspec, , .vcxproj``.fsproj | packages.config |
| GitHub Actions Fluxos | YAML | | | |
.yml, .yaml | |
| Módulos Go | Go | | | | go.mod| |
| Gradle | Java | | | | | |
| |
| Julia | Julia | | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | | pom.xml | |
| npm | JavaScript | | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| pip | Python | | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | | pubspec.lock | pubspec.yaml |
| Poesia | Python | | | | poetry.lock | pyproject.toml |
| RubyGems | Ruby | | | | Gemfile.lock |
Gemfile, *.gemspec |
| Gerenciador de Pacotes Swift | Swift | | | | Package.resolved | |
| Yarn | JavaScript | | | | yarn.lock | package.json |
Observação
- Se você listar suas dependências de Python em um arquivo
setup.py, talvez não possamos analisar e listar todas as dependências em seu projeto.
GitHub Actions os fluxos de trabalho devem estar localizados no `.github/workflows/` diretório de um repositório para serem reconhecidos como manifestos. As ações ou os fluxos de trabalho referenciados com a sintaxe `jobs[*].steps[*].uses` ou `jobs.<job_id>.uses` serão analisados como dependências. Para saber mais, confira [AUTOTITLE](/actions/using-workflows/workflow-syntax-for-github-actions).
Para GitHub Actions, os alertas são gerados apenas para ações que usam versionamento semântico, não versionamento SHA. Para obter mais informações, consulte [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) e [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates).
Ecossistemas mantidos pela comunidade
Os ecossistemas a seguir são mantidos por seus mantenedores de comunidade de origem. GitHub integra Dependabot com esses ecossistemas, mas não os mantém diretamente.
| Ecossistema | Mantido por |
|---|---|
| Julia | Comunidade julia |
| OpenTofu | Comunidade OpenTofu |
| pub | Comunidade Dart |