Понимание таблицы
Граф зависимостей поддерживает различные методы подачи данных для прямых и косвенных (транзитивных) зависимостей. См . раздел AUTOTITLE.
В таблице ниже:
- Статические транзитивные зависимости и автоматическая подача зависимостей показывают поддерживаемые методы подачи данных.
- Столбец «Статические транзитивные зависимости» также показывает, будет ли статический анализ добавлять и маркировать зависимые пакеты в этой экосистеме.
- Столбец «Рекомендуемые файлы » предлагает форматы, которые явно определяют, какие версии используются для всех прямых и косвенных зависимостей. Эти файлы блокируют версии пакетов с теми, что включены в сборку, и позволяют Dependabot находить уязвимые версии как в прямых, так и в косвенных зависимостях.
Поддерживаемые экосистемы пакетов
| Диспетчер пакетов | Языки | Статические транзитивные зависимости | Автоматическая отправка зависимостей | Рекомендуемые файлы | Дополнительные файлы |
|---|---|---|---|---|---|
| Груз | Rust | Cargo.lock | Cargo.toml | ||
| Composer | PHP | composer.lock | composer.json | ||
| NuGet | .NET (C#, F#, VB), C++ | , , , , | packages.config | ||
| Рабочие процессы GitHub Actions | YAML | , | |||
| Модули Go | Вперед | go.mod | |||
| Gradle (Грэйдл) | Java | ||||
| Maven | Java, Scala | pom.xml | |||
| npm | JavaScript | package-lock.json | package.json | ||
| пит | Python | , | , | ||
| pnpm | JavaScript | pnpm-lock.yaml | package.json | ||
| pub | Dart | pubspec.lock | pubspec.yaml | ||
| Поэзия | Python | poetry.lock | pyproject.toml | ||
| RubyGems | Руби | Gemfile.lock | , | ||
| Swift диспетчер пакетов | Swift | Package.resolved | |||
| Yarn | JavaScript | yarn.lock | package.json |
Примечание.
- Если вы перечисляете свои Python зависимости в файле
setup.py, мы можем не иметь возможности разобрать и перечислить все зависимости в вашем проекте. - Рабочие процессы GitHub Actions должны находиться в каталоге репозитория для распознавания как манифестов. Любые действия или рабочие процессы, для ссылок на которые используется синтаксис или , будут анализироваться как зависимости. Дополнительные сведения см. в разделе AUTOTITLE.
- Для GitHub Actions, Dependabot alerts генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA. Дополнительные сведения см. в разделе AUTOTITLE и AUTOTITLE.