依存関係グラフについて
依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイル、および 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:の依存関係、すなわちリポジトリが依存するエコシステムとパッケージ。
依存関係ごとに、 脆弱性の重大度を確認できます。 検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱性の重大度によって自動的に並べ替えられます。
GitHub Enterprise Server を使っても、依存関係のライセンス情報は取得されず、依存関係に関する情報、リポジトリに依存するリポジトリとパッケージは計算されません。 詳しくは、「依存関係グラフについて」を参照してください。
この記事では、サポートされているエコシステムについて説明します。
サポートされているパッケージエコシステム
推奨されるフォーマットでは、直接および間接の依存関係すべてに使用されるバージョンを明示的に定義しています。 これらの形式を使う場合、依存関係グラフはより正確になります。 これは、現在のビルドのセットアップも反映し、依存関係グラフが直接および間接の依存関係の両方で脆弱性を報告できるようにしてくれます。
| パッケージ マネージャー | 言語 | 推奨される形式 | サポートされているすべての形式 |
|---|---|---|---|
| Cargo | Rust | Cargo.lock | Cargo.toml、Cargo.lock |
| Composer | PHP | composer.lock | composer.json、 composer.lock |
| NuGet | .NET 言語 (C#、F#、VB)、C++ | .csproj、.vbproj、.nuspec、.vcxproj、.fsproj | .csproj、.vbproj、.nuspec、.vcxproj、.fsproj、packages.config |
| GitHub Actionsのワークフロー | YAML | .yml、.yaml | .yml、 .yaml |
| Go モジュール | Go | go.mod | go.mod |
| Maven | Java、Scala | pom.xml | pom.xml |
| npm | JavaScript | package-lock.json | package-lock.json、 package.json |
| pip | Python | requirements.txt、pipfile.lock | requirements.txt、pipfile、pipfile.lock, setup.py |
| pnpm | JavaScript | pnpm-lock.yaml | package.json, pnpm-lock.yaml |
| pub | Dart | pubspec.lock | pubspec.yaml、 pubspec.lock |
| Python Poetry | Python | poetry.lock | poetry.lock、pyproject.toml |
| RubyGems | Ruby | Gemfile.lock | Gemfile.lock、Gemfile、*.gemspec |
| Swift パッケージ マネージャー | Swift | Package.resolved | Package.resolved |
| Yarn | JavaScript | yarn.lock | package.json、yarn.lock |
Note
setup.pyファイル内に Python の依存関係を列挙した場合、ユーザーはプロジェクト内のすべての依存関係を解析し、列挙することができない場合があります。- マニフェストとして認識するには、GitHub Actions ワークフローをリポジトリの
.github/workflows/ディレクトリに配置する必要があります。 構文jobs[*].steps[*].usesまたはjobs.<job_id>.usesを使用して参照されるアクションまたはワークフローは、依存関係として解析されます。 詳しくは、「GitHub Actions のワークフロー構文」を参照してください。 - Dependabot は、セマンティック バージョン管理を使用する脆弱な GitHub Actions に対してのみ、Dependabot alerts を作成します。 SHA バージョン管理を使用する脆弱なアクションのアラートは受け取れません。 SHA バージョン管理で GitHub Actions を使用する場合は、リポジトリまたは組織に対して Dependabot version updates を有効にして、使用するアクションを最新バージョンに更新しておくことをおすすめします。詳細については、「Dependabot アラートについて」と「GitHub Dependabot のバージョンアップデートについて」をご覧ください。
依存関係の送信アクションによってサポートされるパッケージ エコシステム
依存関係送信 API を使用して、たとえそのエコシステムが上記のサポート対象エコシステム リストに含まれていない場合でも、ビルド時の依存関係を依存関係グラフに追加したり、任意のパッケージ マネージャーまたはエコシステムから選んだ依存関係を依存関係グラフに追加できます。 これらの送信された依存関係からの依存関係情報は、順番に、Dependabot updates と Dependabot alerts に送られます。
依存関係送信 API を使用してプロジェクトに送信された依存関係には、提出に使用された検出機能と、いつ送信されたかが表示されます。 依存関係送信 API の詳細については、「Dependency Submission API を使用する」を参照してください。
プロジェクトのビルド時にプロジェクトの依存関係を送信するには、通常、GitHub Actions ワークフローで 依存関係送信 API を使います。 依存関係送信 API を使う最も簡単な方法は、依存関係のリストを収集して必要なスナップショット形式に変換したものを API に送信するアクションを事前に作成し、それをリポジトリに追加することです。 現在使用可能なアクションへのリンクを次の表に示します。
| エコシステム | アクション |
|---|---|
| Go | Go の依存関係送信 |
| Gradle | Gradle の依存関係送信 |
| Maven | Maven 依存関係ツリーの依存関係送信 |
| 製粉 | Mill の依存関係送信 |
| Scala | Sbt の依存関係送信 |
| NuGet とその他 | コンポーネント検出の依存関係の送信アクション |
注: コンポーネント検出依存関係の送信アクションの場合、サポートされているその他のエコシステムには、Vcpkg、Conan、Conda、Crates、NuGet などがあります。
たとえば、次の Go 依存関係送信ワークフローは、Go ビルド ターゲット (main 関数を含む Go ファイル) の依存関係を計算し、そのリストを 依存関係送信 API に送信します。
name: Go Dependency Submission
on:
push:
branches:
- main
# The API requires write permission on the repository to submit dependencies
permissions:
contents: write
# Environment variables to configure Go and Go modules. Customize as necessary
env:
GOPROXY: '' # A Go Proxy server to be used
GOPRIVATE: '' # A list of modules are considered private and not requested from GOPROXY
jobs:
go-action-detection:
runs-on: ubuntu-latest
steps:
- name: 'Checkout Repository'
uses: actions/checkout@v4
- uses: actions/setup-go@v5
with:
go-version: ">=1.18.0"
- name: Run snapshot action
uses: actions/go-dependency-submission@v1
with:
# Required: Define the repo path to the go.mod file used by the
# build target
go-mod-path: go-example/go.mod
#
# Optional. Define the repo path of a build target,
# a file with a `main()` function.
# If undefined, this action will collect all dependencies
# used by all build targets for the module. This may
# include Go dependencies used by tests and tooling.
go-build-target: go-example/cmd/octocat.go
独自のアクションの作成もできます。 詳しくは、「Dependency Submission API を使用する」を参照してください。