Dependency graph

About the dependency graph

依存関係グラフは、リポジトリに格納されているマニフェストおよびロックファイル、および依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。それぞれのリポジトリについて、以下が表示されます:の依存関係、すなわちリポジトリが依存するエコシステムとパッケージ。

依存関係ごとに、バージョン、それを含むマニフェストファイル、既知の脆弱性があるかどうかを確認できます。推移的な依存関係をサポートするパッケージエコシステムの場合、リレーションシップの状態が表示され、[] をクリックしてから [Show paths] をクリックすると、その依存関係の基になっている推移パスを確認できます。

検索バーを使用して、特定の依存関係を検索することもできます。依存関係は、脆弱なパッケージが先頭になるように自動的に並べ替えられます。

GitHub では、依存関係のライセンス情報は取得されず、あるリポジトリに依存する依存物、リポジトリ、パッケージに関する情報は計算されません。

For information on the supported ecosystems and manifest files, see 依存関係グラフがサポートされるパッケージエコシステム.

When you create a pull request containing changes to dependencies that targets the default branch, GitHub uses the dependency graph to add dependency reviews to the pull request. These indicate whether the dependencies contain vulnerabilities and, if so, the version of the dependency in which the vulnerability was fixed. For more information, see Dependency review.

Explore the repositories your code depends on. For more information, see Exploring the dependencies of a repository.
View and update vulnerable dependencies for your repository. For more information, see Dependabot alerts.
See information about vulnerable dependencies in pull requests. For more information, see プルリクエスト内の依存関係の変更をレビューする.
Export a software bill of materials (SBOM) for audit or compliance purposes. This is a formal, machine-readable inventory of a project's dependencies. See Exporting a software bill of materials for your repository.

この機能を使用できるユーザーについて

この記事で

About the dependency graph

How the dependency graph is built

Dependency graph availability

What you can do with the dependency graph

Further reading