Unterstützte Paketökosysteme
Die Abhängigkeitsüberprüfung unterstützt sowohl direkte als auch transitive Abhängigkeiten für alle unterstützten Paketökosysteme. Die Abhängigkeitsüberprüfung kann keine anbieterbasierten Abhängigkeiten in Ihrem Repository erkennen.
Stellen Sie aufgrund der Ausführung der Erkennung für die Abhängigkeitsüberprüfung sicher, dass Sie in Ihrer Buildpipeline über einen Paketwiederherstellungsschritt verfügen, damit die richtige Paketversion bestimmt wird, andernfalls fehlen oder unvollständige Ergebnisse.
Ökosysteme und Versionen
| Paket-Manager | Languages | Unterstützte Formate | Unterstützte Versionen |
|---|---|---|---|
| Cargo | Rust | Cargo.toml, Cargo.lock |
v1 |
| CocoaPods | Swift | Podfile.lock |
Nicht zutreffend |
| Go-Module | Go | go.mod, go.sum |
Nicht zutreffend |
| Gradle | Java | *.lockfile |
Nicht zutreffend |
| Maven | Java | pom.xml |
Nicht zutreffend |
| npm | JavaScript | package-lock.json, , package.jsonnpm-shrinkwrap.jsonlerna.json |
v6, v7 & lockfile <= v3 |
| NuGet | C# | *.packages.config, *.project.assets*.csproj |
Nicht zutreffend |
| pip | Python | setup.py, requirements.txt |
Nicht zutreffend |
| pnpm | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
Nicht zutreffend |
| Yarn | JavaScript | package.json |
v1, v2 |
Cargo
Wenn Cargo cli mit v1.77 oder höher installiert wird, cargo metadata wird dies genauer verwendet.
Go-Module
Wenn Sie Go v1.17 oder höher verwenden, wird sie direkt zusammen mit demgo cli, wenn es auf dem Agent vorhanden ist, go.mod verwendet. Andernfalls wird die go.sum Datei gescannt.
Maven
Die Erkennung erfordert, dass die maven CLI auf dem Agent installiert wird.
npm
Die Abhängigkeitsüberprüfung erkennt alle Stammdateien package.json , löst aber keine bestimmten Paketversionen ohne Paketwiederherstellung zur Erstellungszeit auf, auch wenn Abhängigkeiten in der package.json Semantik nicht versionsabhängig sind.
NuGet
Ohne eine Paketwiederherstellung löst die Abhängigkeitsüberprüfung keine bestimmten Paketversionen auf, auch wenn Abhängigkeiten in der *.csproj Semantik nicht versionsabhängig sind.
pip
Verwenden Oder pip v22.2.0 höher, um die Verwendung von pip report Scannen zu ermöglichen, was eine genauere Erkennung ermöglicht.
Die Umgebungsvariable PIP_INDEX_URL wird verwendet, um zu bestimmen, für pip install --report detectionwelchen Paketfeed verwendet werden soll. Der Standardwert verwendet den PyPi-Index, es sei denn, Pip-Standardwerte sind global konfiguriert.