Skip to main content

配置依赖项关系图

通过启用依赖项关系图,用户可识别其项目的依赖项。

谁可以使用此功能?

具有管理员角色的存储库所有者、组织所有者、安全管理员和用户

关于依赖关系图

依赖项关系图是存储在存储库中的清单和锁定文件以及使用 依赖项提交 API 提交给存储库的任何依赖项的摘要。 对于每个存储库,它显示:

  • 依赖项、它依赖的生态系统和包
  • 依赖项,是指依赖于它的存储库和包

对于每个依赖项,可以看到许可证信息和漏洞严重程度。 还可以使用搜索栏搜索特定依赖项。 依赖项按漏洞严重程度自动排序。

有关详细信息,请参阅“关于依赖关系图”。

配置依赖项关系图

要生成依赖项关系图,GitHub 需要对存储库的依赖项清单和锁定文件具有只读访问权限。 依赖项关系图自动为所有公共存储库生成,你可以选择为专用 存储库启用此功能。 有关查看依赖项关系图的详细信息,请参阅“探索仓库的依赖项”。

此外,可以使用 依赖项提交 API 从所选的包管理器或生态系统提交依赖项,即使依赖项关系图不支持使用该生态系统进行清单或锁定文件分析也是如此。 使用 依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。有关 依赖项提交 API 的详细信息,请参阅“使用依赖项提交 API”。

为私有仓库启用或禁用依赖关系图

存储库管理员可以启用或禁用私有 存储库的依赖项关系图。

您也可以为用户帐户拥有的所有存储库启用或禁用依赖项关系图。 有关详细信息,请参阅“管理个人帐户的安全和分析设置”。

还可以同时为组织中的多个存储库启用依赖项关系图。 有关详细信息,请参阅“保护你的组织”。

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 阅读有关授予 GitHub 只读访问存储库数据的消息,以启用依赖项关系图,然后在“依赖项关系图”旁边单击“启用”。

    显示如何为存储库启用依赖项关系图的屏幕截图。 “启用”按钮以深橙色轮廓突出显示。

    可以随时单击“代码安全性和分析”的设置页上“依赖项关系图”旁边的“禁用”来禁用依赖项关系图。

首次启用依赖关系图时,将立即剖析受支持的生态系统的任何清单和锁定文件。 依赖关系图通常在几分钟之内填充,但对于依赖项很多的仓库,可能需要更长时间。 启用后,该关系图将在每次推送到存储库以及每次推送到该关系图中的其他存储库时自动更新。

其他阅读材料