Podporované ekosystémy balíčků
Kontrola závislostí podporuje přímé i tranzitivní závislosti pro všechny podporované ekosystémy balíčků. Kontrola závislostí nemůže rozpoznat závislosti dodavatele ve vašem úložišti.
Vzhledem k tomu, jak se detekce spouští pro kontrolu závislostí, ujistěte se, že máte v kanálu buildu krok obnovení balíčku, aby se určila správná verze balíčku, jinak můžou chybět nebo neúplné výsledky.
Ekosystémy a verze
| Správce balíčků | Jazyky | Podporované formáty | Podporované verze |
|---|---|---|---|
| Náklad | Rust | Cargo.toml, Cargo.lock |
v1 |
| CocoaPods | Swift | Podfile.lock |
Není k dispozici |
| Moduly Go | Go | go.mod, go.sum |
Není k dispozici |
| Gradle | Java | *.lockfile |
Není k dispozici |
| Maven | Java | pom.xml |
Není k dispozici |
| npm | JavaScript | package-lock.json, package.json, , npm-shrinkwrap.jsonlerna.json |
v6, v7 & lockfile <= v3 |
| NuGet | C# | *.packages.config, , *.project.assets*.csproj |
Není k dispozici |
| jádro | Python | setup.py, requirements.txt |
Není k dispozici |
| pnpm | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
Není k dispozici |
| Příze | JavaScript | package.json |
v1, v2 |
Náklad
Pokud Cargo je nainstalované rozhraní příkazového řádku s v1.77 nebo novějším, cargo metadata použije se, což je přesnější.
Moduly Go
Pokud používáte Go verze 1.17 nebo vyšší, go.mod použije se přímo spolu s informacemi go cli o tom, jestli se nachází v agentovi. V opačném případě se go.sum soubor zkontroluje.
Maven
Detekce vyžaduje maven , aby se v agentu nainstalovalo rozhraní příkazového řádku.
npm
Kontrola závislostí detekuje všechny kořenové package.json soubory, ale nevyřešuje konkrétní verze balíčků bez obnovení balíčku v době sestavení, i když se závislosti v package.json sémanticky nesprávě verzí nenacházejí.
NuGet
Bez obnovení balíčku vyhledávání závislostí nevyřeší žádné konkrétní verze balíčků, i když nejsou závislosti v *.csproj sémanticky verze.
jádro
Umožňuje pip v22.2.0 použít kontrolu nebo vyšší, pip report která poskytuje přesnější detekci.
Proměnná PIP_INDEX_URL prostředí se používá k určení, pro jaký informační kanál balíčku se má použít pip install --report detection. Výchozí hodnota používá index PyPi, pokud nejsou nakonfigurované výchozí hodnoty pip globálně.