Comprendre la table
Le graphique de dépendances prend en charge différentes méthodes d’envoi de données pour les dépendances directes et indirectes (transitives). Consultez « Comment le graphique de dépendances reconnaît les dépendances ».
Dans le tableau ci-dessous :
- Les dépendances transitives statiques et la soumission de dépendance automatique vous montrent les méthodes prises en charge pour l’envoi de données.
- La colonne dépendances transitives statiques indique également si l'analyse statique va ajouter des étiquettes
directettransitiveaux packages dépendants dans cet écosystème. - La colonne Fichiers recommandés suggère des formats qui définissent explicitement les versions utilisées pour toutes les dépendances directes et indirectes. Ces fichiers verrouillent les versions de package à celles incluses dans la build et permettent à Dependabot de rechercher des versions vulnérables dans les dépendances directes et indirectes.
Écosystèmes de packages pris en charge
| Gestionnaire de paquets | Langues | Dépendances transitives statiques | Envoi automatique des dépendances | Fichiers recommandés | Fichiers supplémentaires |
|---|---|---|---|---|---|
| Bazel | Starlark |
`MODULE.bazel`, `WORKSPACE` |
`MODULE.bazel.lock`
`maven_install.json`
`*.MODULE.bazel`
|
| |
| Cargo | Rust | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | composer.lock | composer.json |
| NuGet | langages .NET (C#, F#, VB), C++ | | |
.csproj, .vbproj, , .nuspec, .vcxproj, .fsproj | packages.config |
| Workflows GitHub Actions | YAML | | |
.yml, .yaml | |
| Modules Go | Allez | | | go.mod| |
| Gradle | Java | | | | |
| |
| Julia | Julia | | | Manifest.toml | Project.toml |
| |
| Maven | Java, Scala | | | pom.xml | |
| npm | JavaScript | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | .terraform.lock.hcl |
.tf, .tofu |
| |
| pip | Python | | |
requirements.txt, pipfile.lock |
pipfile, setup.py |
| pnpm | JavaScript | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | pubspec.lock | pubspec.yaml |
| Poésie | Python | | | poetry.lock | pyproject.toml |
| RubyGems | Ruby | | | Gemfile.lock |
Gemfile, *.gemspec |
| Gestionnaire de package Swift | Swift | | | Package.resolved | |
| Yarn | JavaScript | | | yarn.lock | package.json |
Remarque
- Si vous répertoriez vos dépendances Python dans un fichier
setup.py, nous ne pouvons peut-être pas analyser et répertorier chaque dépendance dans votre projet. - Les workflows GitHub Actions doivent se trouver dans le répertoire
.github/workflows/d’un dépôt pour être reconnus en tant que manifestes. Toutes les actions ou workflows référencés avec la syntaxejobs[*].steps[*].usesoujobs.<job_id>.usessont analysés en tant que dépendances. Pour plus d’informations, consultez « Syntaxe de flux de travail pour GitHub Actions ». - Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA. Pour plus d’informations, consultez À propos des alertes Dependabot et À propos des mises à jour de version Dependabot.
Écosystèmes gérés par la communauté
Les écosystèmes suivants sont maintenus par leurs gardiens de la communauté en amont. GitHub intègre Dependabot avec ces écosystèmes, mais ne les gère pas directement.
| Écosystème | Géré par |
|---|---|
| Julia | Communauté Julia |
| OpenTofu | Communauté OpenTofu |
| pub | Communauté Dart |