Ecosistemi di pacchetti supportati
L'analisi delle dipendenze supporta dipendenze dirette e transitive per tutti gli ecosistemi di pacchetti supportati. L'analisi delle dipendenze non è in grado di rilevare le dipendenze fornitore nel repository.
A causa della modalità di esecuzione del rilevamento per l'analisi delle dipendenze, assicurarsi di disporre di un passaggio di ripristino del pacchetto nella pipeline di compilazione in modo che venga determinata la versione corretta del pacchetto, altrimenti i risultati potrebbero essere mancanti o incompleti.
Ecosistemi e versioni
| Strumento di gestione pacchetti | Lingue | Formati supportati | Versioni supportate |
|---|---|---|---|
| Carico | Rust | Cargo.toml, Cargo.lock |
v1 |
| CocoaPods | Swift | Podfile.lock |
n/d |
| Moduli Go | Go | go.mod, go.sum |
n/d |
| Gradle | Java | *.lockfile |
n/d |
| Maven | Java | pom.xml |
n/d |
| npm | JavaScript | package-lock.json, package.json, npm-shrinkwrap.jsonlerna.json |
v6, v7 & lockfile <= v3 |
| NuGet | C# | *.packages.config, *.project.assets, *.csproj |
n/d |
| pip | Python | setup.py, requirements.txt |
n/d |
| pnpm | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
n/d |
| Yarn | JavaScript | package.json |
v1, v2 |
Cargo
Se Cargo l'interfaccia della riga di comando installata con v1.77 o versione successiva viene cargo metadata usata, che è più accurata.
Moduli Go
Se si usa Go v1.17 o versione successiva, go.mod viene usato direttamente, insieme a go cli se è presente nell'agente. In caso contrario, il go.sum file viene analizzato.
Maven
Il rilevamento richiede l'installazione dell'interfaccia maven della riga di comando nell'agente.
npm
L'analisi delle dipendenze rileva tutti i file radice package.json , ma non risolve versioni di pacchetti specifiche senza un ripristino del pacchetto in fase di compilazione anche se le dipendenze in package.json non sono semanticamente con controllo delle versioni.
NuGet
Senza un ripristino del pacchetto, l'analisi delle dipendenze non risolve alcuna versione specifica del pacchetto anche se le dipendenze in *.csproj non sono semanticamente con controllo delle versioni.
pip
Usare pip v22.2.0 o versione successiva per abilitare l'uso dell'analisi pip report , che fornisce un rilevamento più accurato.
La variabile PIP_INDEX_URL di ambiente viene usata per determinare quale feed di pacchetti deve essere usato per pip install --report detection. Il valore predefinito usa l'indice PyPi a meno che le impostazioni predefinite pip non siano configurate a livello globale.