지원되는 패키지 에코시스템
종속성 검사는 지원되는 모든 패키지 에코시스템에 대한 직접 및 전이적 종속성을 모두 지원합니다. 종속성 검사를 통해 리포지토리에서 공급업체 종속성을 검색할 수 없습니다.
종속성 검사를 위해 검색을 실행하는 방법으로 인해 올바른 패키지 버전이 결정되도록 빌드 파이프라인에 패키지 복원 단계가 있는지 확인합니다. 그렇지 않으면 결과가 누락되거나 불완전할 수 있습니다.
에코시스템 및 버전
| 패키지 관리자 | 언어 | 지원되는 형식 | 지원되는 버전 |
|---|---|---|---|
| Cargo | Rust | Cargo.toml, Cargo.lock |
v1 |
| CocoaPods | Swift | Podfile.lock |
해당 없음 |
| Go 모듈 | Go | go.mod, go.sum |
해당 없음 |
| Gradle | Java | *.lockfile |
해당 없음 |
| Maven | Java | pom.xml |
해당 없음 |
| npm | JavaScript | package-lock.json, package.json, npm-shrinkwrap.jsonlerna.json |
v6, v7 및 lockfile <= v3 |
| NuGet | C# | *.packages.config, , *.project.assets*.csproj |
해당 없음 |
| pip | Python | setup.py, requirements.txt |
해당 없음 |
| pnpm | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
해당 없음 |
| Yarn | JavaScript | package.json |
v1, v2 |
Cargo
v1.77 이상 cargo metadata 과 함께 설치된 cli가 사용되는 경우 Cargo 더 정확합니다.
Go 모듈
Go v1.17 이상을 go.mod 사용하는 경우 에이전트에 있는 경우와 go cli 함께 직접 사용됩니다. 그렇지 않으면 go.sum 파일이 검색됩니다.
Maven
검색하려면 에이전트에 maven CLI를 설치해야 합니다.
npm
종속성 검색은 루트 package.json 파일을 검색하지만, 의미 체계적으로 버전이 지정되지 않은 경우에도 package.json 빌드 시 패키지 복원 없이 특정 패키지 버전을 확인하지 않습니다.
NuGet
패키지 복원이 없으면 종속성 검사에서 의미 체계적으로 버전이 지정되지 않은 경우에도 *.csproj 특정 패키지 버전을 확인할 수 없습니다.
pip
더 정확한 검색을 제공하는 검색을 pip report 사용하도록 설정하려면 이상을 사용합니다pip v22.2.0.
환경 변수 PIP_INDEX_URL 는 사용할 패키지 피드를 결정하는 데 사용됩니다 pip install --report detection. pip 기본값이 전역적으로 구성되지 않는 한 기본값은 PyPi 인덱스를 사용합니다.