Descripción de la tabla
El gráfico de dependencias admite diferentes métodos de envío de datos para dependencias directas e indirectas (transitivas). Consulta AUTOTITLE.
En la tabla siguiente:
- Las dependencias transitivas estáticas y el envío automático de dependencias muestran los métodos admitidos para enviar datos.
- La columna Dependencias transitivas estáticas también indica si el análisis estático agregará etiquetas específicas para los paquetes dependientes de ese ecosistema.
- La columna Archivos recomendados sugiere formatos que definen explícitamente qué versiones se usan para todas las dependencias directas y indirectas. Estos archivos bloquean las versiones del paquete en las incluidas en la compilación y permiten a Dependabot encontrar versiones vulnerables en dependencias directas e indirectas.
Ecosistemas de paquetes compatibles
| Administrador de paquetes | Idiomas | Dependencias transitivas estáticas | Envío automático de dependencias | Archivos recomendados | Archivos adicionales |
|---|---|---|---|---|---|
| Cargo | Óxido | Cargo.lock | Cargo.toml | ||
| Composer | PHP | composer.lock | composer.json | ||
| NuGet | .NET lenguajes (C#, F#, VB), C++ | , , , , , | packages.config | ||
| Flujos de trabajo de GitHub Actions | YAML | , | |||
| Módulos de Go | Go | go.mod | |||
| Gradle | Java | ||||
| Maven | Java, Scala | pom.xml | |||
| npm | JavaScript | package-lock.json | package.json | ||
| pip | Python | , | , | ||
| pnpm | JavaScript | pnpm-lock.yaml | package.json | ||
| pub | Dart | pubspec.lock | pubspec.yaml | ||
| Poesía | Python | poetry.lock | pyproject.toml | ||
| RubyGems | Rubí | Gemfile.lock | , | ||
| Swift Administrador de paquetes | Swift | Package.resolved | |||
| Yarn | JavaScript | yarn.lock | package.json |
Nota:
- Si enumera las dependencias de Python en un archivo
setup.py, es posible que no podamos analizar y enumerar todas las dependencias de su proyecto. - Los flujos de trabajo de GitHub Actions se deben ubicar en el directorio de un repositorio para que se reconozcan como manifiestos. Las acciones o flujos de trabajo a los que se hace referencia mediante la sintaxis o se analizarán como dependencias. Para más información, consulta AUTOTITLE.
- Para GitHub Actions, Dependabot alerts solo se generan para acciones que usan el control de versiones semántico, no el control de versiones SHA. Para obtener más información, consulta AUTOTITLE y AUTOTITLE.