記事のバージョン: Enterprise Server 2.17
リポジトリが依存するパッケージをリストする
プロジェクトの依存関係を表示し、脆弱性が検出された場合にはそれも表示することができます。
依存関係グラフについて
依存関係グラフは、サポートされているパッケージエコシステムで、サポートされているファイル形式を使って、リポジトリごとに利用できます。
この機能を使えるようにするには、サイト管理者はGitHub Enterprise Server インスタンスの脆弱性のある依存関係に対するセキュリティアラートを有効化しなければなりません。 詳しい情報については「GitHub Enterprise Serverの脆弱性のある依存関係に関するセキュリティアラートの有効化」を参照してください。
リポジトリの依存関係グラフでは、脆弱な依存関係を表示して更新することができます。 他の依存関係より前に、脆弱な依存関係がリストされます。 詳しい情報については脆弱性のある依存関係に対するセキュリティアラートについてを参照してください。
サポートされているパッケージエコシステム
| パッケージマネージャー | 言語 | 推奨されるフォーマット | サポートされているフォーマット |
|---|---|---|---|
| Maven | Java、Scala | pom.xml | pom.xml |
| npm | JavaScript | package-lock.json | package-lock.json、package.json |
| Yarn | JavaScript | yarn.lock | package.json、yarn.lock |
dotnet CLI | .NET 言語 (C#、C++、F#、VB) | .csproj、.vbproj、.nuspec、.vcxproj、.fsproj | .csproj、.vbproj、.nuspec、.vcxproj、.fsproj、packages.config |
| Python PIP | Python | requirements.txt、pipfile.lock | requirements.txt、pipfile.lock、setup.py* |
| RubyGems | Ruby | Gemfile.lock | Gemfile.lock、Gemfile、*.gemspec |
メモ: setup.py ファイルで Python の依存関係をリストする場合、プロジェクトの各依存関係の解析やリスト、あるいは依存関係についてのアラート生成はできないことがあります。
依存関係グラフを有効にしたリポジトリの依存関係をリストする
- GitHub Enterpriseで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で Insights(インサイト)をクリックしてください。
- 左のサイドバーでDependency graph(依存関係グラフ)をクリックしてください。
依存関係グラフのトラブルシューティング
プロジェクトが依存関係を持っていながら、グラフ中で検出された依存関係がない場合は、依存関係を含むファイルに問題があるかもしれません。 プロジェクトのファイルがファイルタイプに合わせて適切にフォーマットされているかをチェックしてください。