Понимание таблицы
Граф зависимостей поддерживает различные методы подачи данных для прямых и косвенных (транзитивных) зависимостей. См . раздел AUTOTITLE.
В таблице ниже:
- Столбцы Статические транзитивные зависимости, Dependabot графовые задания (в настоящее время недоступны для GitHub Enterprise Server), и Автоматическая отправка зависимостей показывают поддерживаемые методы подачи данных.
- Столбец «Статические транзитивные зависимости» также показывает, будет ли статический анализ добавлять
directиtransitiveмаркировать зависимые пакеты в этой экосистеме. - Столбец Dependabot заданий графов указывает, может Dependabot ли генерировать графы зависимостей, используя собственную инфраструктуру заданий. При поддержке этот метод имеет приоритет над автоматической подачей зависимостей. См . раздел AUTOTITLE.
- Столбец «Рекомендуемые файлы » предлагает форматы, которые явно определяют, какие версии используются для всех прямых и косвенных зависимостей. Эти файлы блокируют версии пакетов с теми, что включены в сборку, и позволяют Dependabot находить уязвимые версии как в прямых, так и в косвенных зависимостях.
Поддерживаемые экосистемы пакетов
| Диспетчер пакетов | Языки | Статические транзитивные зависимости |
Dependabot Графовые задания | Автоматическая отправка зависимостей | Рекомендуемые файлы | Дополнительные файлы |
| --- | --- | --- | --- | --- | --- | --- |
| |
| Базель | Starlark | | | |
MODULE.bazel, WORKSPACE |
MODULE.bazel.lock, , maven_install.json``*.MODULE.bazel |
| |
| Груз | Rust | | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | | composer.lock | composer.json |
| NuGet | .NET (C#, F#, VB), C++ | | | |
.csproj, .vbproj, , .nuspec, .vcxproj``.fsproj | packages.config |
| GitHub Actions Рабочие процессы | YAML | | | |
.yml, .yaml | |
| Модули Go | Вперед | | | | go.mod| |
| Gradle (Грэйдл) | Java | | | | | |
| |
| Julia | Julia | | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | | pom.xml | |
| npm | JavaScript | | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| пит | Python | | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | | pubspec.lock | pubspec.yaml |
| Поэзия | Python | | | | poetry.lock | pyproject.toml |
| RubyGems | Руби | | | | Gemfile.lock |
Gemfile, *.gemspec |
| Swift Package Manager | Swift | | | | Package.resolved | |
| Yarn | JavaScript | | | | yarn.lock | package.json |
Примечание.
- Если вы перечисляете свои Python зависимости в файле
setup.py, мы можем не иметь возможности разобрать и перечислить все зависимости в вашем проекте.
GitHub Actions Рабочие процессы должны находиться в `.github/workflows/` каталоге репозитория, чтобы распознаваться как манифесты. Любые действия или рабочие процессы, для ссылок на которые используется синтаксис `jobs[*].steps[*].uses` или `jobs.<job_id>.uses`, будут анализироваться как зависимости. Дополнительные сведения см. в разделе [AUTOTITLE](/actions/using-workflows/workflow-syntax-for-github-actions).
Для GitHub Actions оповещения генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA. Для получения дополнительной информации смотрите [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) и [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates).
Экосистемы, поддерживаемые сообществом
Следующие экосистемы поддерживаются их поддерживающими сообществами, расположенными выше по течению. GitHub интегрирует Dependabot с этими экосистемами, но не поддерживает их напрямую.
| Экосистема | Поддерживается |
|---|---|
| Julia | Сообщество Джулия |
| OpenTofu | Сообщество OpenTofu |
| pub | Сообщество дартс |