About the dependency graph
종속성 그래프는 리포지토리에 저장된 매니페스트 및 잠금 파일과 종속성 제출 API을(를) 사용하여 리포지토리에 대해 제출된 모든 종속성을 요약한 것입니다. 각 리포지토리에 대해 다음이 표시됩니다 리포지토리가 의존하는 종속성, 즉 에코시스템 및 패키지.
각 종속성에 대해 버전 포함된 매니페스트 파일 및 알려진 취약성이 있는지를 확인할 수 있습니다. 전이적 종속성을 지원하는 패키지 생태계의 경우 관계 상태가 표시되고 ""를 클릭한 다음, "Show paths"를 클릭하면 종속성을 가져온 전이적 경로를 확인할 수 있습니다.
검색 표시줄을 사용하여 특정 종속성을 검색할 수도 있습니다. 종속성은 취약한 패키지가 맨 위에 오도록 자동으로 정렬됩니다.
GitHub는 종속성에 대한 라이선스 정보를 검색하지 않으며 종속성, 리포지토리 및 리포지토리에 의존하는 패키지에 대한 정보를 계산하지 않습니다.
When you push a commit to GitHub that changes or adds a supported manifest or lock file to the default branch, the dependency graph is automatically updated.
For information on the supported ecosystems and manifest files, see 종속성 그래프에서 지원되는 패키지 에코시스템.
또한 매니페스트 또는 잠금 파일 분석을 위한 종속성 그래프에서 지원하지 않는 에코시스템이더라도 종속성 제출 API을(를) 사용하여 원하는 패키지 관리자 또는 에코시스템에서 종속성을 제출할 수 있습니다. 종속성 제출 API을 사용하여 프로젝트에 제출된 종속성은 제출에 사용된 탐지기와 제출된 시점을 표시합니다. 종속성 제출 API에 대한 자세한 내용은 종속성 제출 API 사용을(를) 참조하세요.
When you create a pull request containing changes to dependencies that targets the default branch, GitHub uses the dependency graph to add dependency reviews to the pull request. These indicate whether the dependencies contain vulnerabilities and, if so, the version of the dependency in which the vulnerability was fixed. For more information, see About dependency review.
리포지토리에 대한 최소한의 읽기 권한이 있는 경우 GitHub UI 또는 GitHub REST API를 통해 리포지토리에 대한 종속성 그래프를 SPDX 호환 SBOM(Software Bill of Materials)으로 내보낼 수 있습니다. 자세한 내용은 리포지토리에 대한 소프트웨어 자료 청구서 내보내기을(를) 참조하세요.
Dependency graph availability
엔터프라이즈 소유자는 엔터프라이즈의 종속성 그래프 및 Dependabot alerts를 구성할 수 있습니다. 자세한 내용은 엔터프라이즈에 대해 종속성 그래프 사용 및 엔터프라이즈에 Dependabot 사용을(를) 참조하세요.
For more information about configuration of the dependency graph, see 종속성 그래프 구성.
Dependencies included
The dependency graph includes all the dependencies of a repository that are detailed in the manifest and lock files, or their equivalent, for supported ecosystems, as well as any dependencies that are submitted using the 종속성 제출 API. This includes:
- Direct dependencies, that are explicitly defined in a manifest or lock file or have been submitted using the 종속성 제출 API
- Indirect dependencies of these direct dependencies, also known as transitive dependencies or sub-dependencies
The dependency graph identifies indirect dependencies from the lock files. If your ecosystem does not have lock files, you can use pre-made actions that resolve transitive dependencies for many ecosystems. For more information, see 종속성 제출 API 사용.
For more information on how GitHub helps you understand the dependencies in your environment, see About supply chain security.
Using the dependency graph
You can use the dependency graph to:
- Explore the repositories your code depends on. For more information, see 리포지토리의 종속성 탐색.
- View and update vulnerable dependencies for your repository. For more information, see About Dependabot alerts.
- See information about vulnerable dependencies in pull requests. For more information, see 끌어오기 요청에서 종속성 변경 검토.