Skip to main content

Configuración del gráfico de dependencias

Puedes permitir que los usuarios identifiquen las dependencias de sus proyectos si habilitas el gráfico de dependencias.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

Acerca del gráfico de dependencias

El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra:

  • Las dependencias, ecosistemas y paquetes de los cuales depende
  • Dependientes, los repositorios y paquetes que dependen de él

Puedes ver la información de la licencia y la gravedad de la vulnerabilidad para cada dependencia. También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente por gravedad de la vulnerabilidad.

Para obtener más información, vea «Acerca del gráfico de dependencias».

Configuración del gráfico de dependencias

Para generar un gráfico de dependencias, GitHub necesita acceso de solo lectura a los archivos de manifiesto de dependencias y de bloqueo de un repositorio. El gráfico de dependencias se genera de forma automática para todos los repositorios públicos y puede elegir habilitarlo también para los repositorios privados . Para más información sobre cómo ver el gráfico de dependencias, consulta "Explorar las dependencias de un repositorio".

De manera adicional, puede usar API de envío de dependencias para enviar dependencias desde el administrador de paquetes o el ecosistema que prefiera, incluso si el ecosistema no es compatible con el gráfico de dependencias para el análisis del archivo de manifiesto o de bloqueo. Las dependencias enviadas a un proyecto con API de envío de dependencias mostrarán qué detector se usó para su envío y cuándo se enviaron. Para obtener más información sobre API de envío de dependencias, vea "Uso de la Dependency submission API".

Habilitar e inhabilitar la gráfica de dependencias para un repositorio privado

Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios privados .

También puede habilitar o inhabilitar la gráfica de dependencias para todos los repositorios que pertenecen a su cuenta de usuario u organización. Para obtener más información, consulta "Administración de la configuración de seguridad y análisis para la cuenta personal".

También puedes habilitar el gráfico de dependencias para varios repositorios de una organización al mismo tiempo. Para obtener más información, consulte "Protección de la organización."

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. Lea el mensaje sobre otorgar acceso de solo lectura a GitHub para los datos del repositorio para poder habilitar el gráfico de dependencias. A continuación, haga clic en Enable junto a "Dependency Graph".

    Captura de pantalla en la que se muestra cómo habilitar el gráfico de dependencias de un repositorio. El botón "Habilitar" está resaltado con un contorno naranja oscuro.

    Puedes deshabilitar el gráfico de dependencias en cualquier momento haciendo clic en Disable junto a "Dependency Graph" en la página de configuración de "code security and analysis".

Cuando la gráfica de dependencias se habilita por primera vez, cualquier manifiesto y archivo de bloqueo para los ecosistemas compatibles se pasarán de inmediato. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Una vez que está habilitado, el gráfico se actualiza automáticamente con cada inserción en el repositorio y con cada inserción en otros repositorios del gráfico.

Información adicional