Ecosistemas de paquetes admitidos
El análisis de dependencias admite dependencias directas y transitivas para todos los ecosistemas de paquetes admitidos. El examen de dependencias no puede detectar dependencias de proveedor en el repositorio.
Debido a cómo se ejecuta la detección para el examen de dependencias, asegúrese de que tiene un paso de restauración de paquetes en la canalización de compilación para que se determine la versión correcta del paquete; de lo contrario, los resultados pueden faltar o estar incompletos.
Ecosistemas y versiones
| Administrador de paquetes | Idiomas | Formatos compatibles | Versiones compatibles |
|---|---|---|---|
| Cargo | Rust | Cargo.toml, Cargo.lock |
v1 |
| CocoaPods | Swift | Podfile.lock |
N/D |
| Módulos de Go | Go | go.mod, go.sum |
N/D |
| Gradle | Java | *.lockfile |
N/D |
| Maven | Java | pom.xml |
N/D |
| npm | JavaScript | package-lock.json, package.json, , npm-shrinkwrap.json, lerna.json |
v6, v7 & lockfile <= v3 |
| NuGet | C# | *.packages.config, , *.project.assets, *.csproj |
N/D |
| pip | Python | setup.py, requirements.txt |
N/D |
| pnpm | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
N/D |
| Yarn | JavaScript | package.json |
v1, v2 |
Cargo
Si Cargo la cli instalada con v1.77 o superior, cargo metadata se usa, que es más precisa.
Módulos de Go
Si usa Go v1.17 o superior, go.mod se usa directamente, junto con el go cli si está presente en el agente. De lo contrario, se examina el go.sum archivo.
Maven
La detección requiere que la maven CLI se instale en el agente.
npm
El análisis de dependencias detecta los archivos raíz package.json , pero no resuelve versiones de paquete específicas sin una restauración de paquetes en tiempo de compilación, incluso si las dependencias de package.json no tienen versiones semánticas.
NuGet
Sin una restauración de paquetes, el examen de dependencias no resuelve ninguna versión específica del paquete aunque las dependencias *.csproj de no tengan versiones semánticas.
pip
Use pip v22.2.0 o superior para habilitar el uso del pip report examen, lo que proporciona una detección más precisa.
La variable PIP_INDEX_URL de entorno se usa para determinar qué fuente de paquetes se debe usar para pip install --report detection. El valor predeterminado usa el índice pyPi a menos que los valores predeterminados de pip estén configurados globalmente.