Ecossistemas de pacotes com suporte
A verificação de dependência dá suporte a dependências diretas e transitivas para todos os ecossistemas do pacote de suporte. A verificação de dependências não consegue detectar dependências fornecidas em seu repositório.
Devido à forma como a detecção é executada para verificação de dependência, verifique se você tem uma etapa de restauração de pacote em seu pipeline de build para que a versão correta do pacote seja determinada, caso contrário, os resultados podem estar ausentes ou incompletos.
Ecossistemas e versões
| Gerenciador de pacotes | Idiomas | Formatos com suporte | Versões suportadas |
|---|---|---|---|
| Cargo | Rust | Cargo.toml, Cargo.lock |
v1 |
| CocoaPods | Swift | Podfile.lock |
N/D |
| Módulos Go | Go | go.mod, go.sum |
N/D |
| Gradle | Java | *.lockfile |
N/D |
| Maven | Java | pom.xml |
N/D |
| npm | JavaScript | package-lock.json, package.json, npm-shrinkwrap.json, lerna.json |
v6, v7 & arquivo de bloqueio <= v3 |
| NuGet | C# | *.packages.config, *.project.assets, *.csproj |
N/D |
| pip | Python | setup.py, requirements.txt |
N/D |
| pnpm | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
N/D |
| Yarn | JavaScript | package.json |
v1, v2 |
Cargo
Se Cargo cli instalado com v1.77 ou superior, cargo metadata é usado, o que é mais preciso.
Módulos Go
Se estiver usando Go v1.17 ou superior, go.mod é usado diretamente, junto com o go cli se estiver presente no agente. Caso contrário, o go.sum arquivo será verificado.
Maven
A detecção requer que a maven CLI seja instalada no agente.
npm
A verificação de dependência detecta todos os arquivos raiz package.json , mas não resolve versões específicas do pacote sem uma restauração de pacote no momento da compilação, mesmo que as package.json dependências no não tenham controle de versão semanticamente.
NuGet
Sem uma restauração de pacote, a verificação de dependência não resolve nenhuma versão específica do pacote, mesmo que as *.csproj dependências no não tenham controle de versão semanticamente.
pip
Use pip v22.2.0 ou superior para permitir o uso de pip report varredura, o que fornece uma detecção mais precisa.
A variável PIP_INDEX_URL de ambiente é usada para determinar para qual feed de pacote deve ser usado para pip install --report detection. O valor padrão usa o índice PyPi, a menos que os padrões pip sejam configurados globalmente.