Поддерживаемые экосистемы пакетов
Сканирование зависимостей поддерживает как прямые, так и транзитивные зависимости для всех поддерживаемых экосистем пакетов. Проверка зависимостей не может обнаруживать в репозитории поставщиков зависимости.
Из-за того, как выполняется обнаружение зависимостей, убедитесь, что в конвейере сборки есть шаг восстановления пакета, чтобы определить правильную версию пакета, в противном случае результаты могут быть пропущены или неполны.
Экосистемы и версии
| Диспетчер пакетов | Языки | Поддерживаемые форматы | Поддерживаемые версии |
|---|---|---|---|
| Груз | Rust | Cargo.toml, Cargo.lock |
Версия 1 |
| CocoaPods | Swift | Podfile.lock |
Н/Д |
| Модули Go | Go | go.mod, go.sum |
Н/Д |
| Gradle | Java | *.lockfile |
Н/Д |
| Maven | Java | pom.xml |
Н/Д |
| npm | JavaScript | package-lock.json, , package.jsonnpm-shrinkwrap.jsonlerna.json |
v6, v7 & lockfile <= v3 |
| NuGet | C# | *.packages.config, , *.project.assets*.csproj |
Н/Д |
| pip | Python | setup.py, requirements.txt |
Н/Д |
| pnpm | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
Н/Д |
| Yarn | JavaScript | package.json |
версия 1, версия 2 |
Груз
Если Cargo интерфейс командной строки установлен с версией 1.77 или выше, cargo metadata используется более точно.
Модули Go
Если используется Go версии 1.17 или более поздней версии, go.mod он используется напрямую, а также go cli , если он присутствует в агенте. go.sum В противном случае файл сканируется.
Maven
Для обнаружения требуется maven , чтобы интерфейс командной строки был установлен на агенте.
npm
Проверка зависимостей обнаруживает все корневые package.json файлы, но не разрешает определенные версии пакетов без восстановления пакета во время сборки, даже если зависимости в ней package.json не семантические версии.
NuGet
Без восстановления пакета проверка зависимостей не разрешает какие-либо определенные версии пакетов, даже если зависимости в нем *.csproj не семантические версии.
pip
Используйте pip v22.2.0 или выше для включения использования pip report сканирования, что обеспечивает более точное обнаружение.
Переменная PIP_INDEX_URL среды используется для определения того, какой веб-канал пакетов следует использовать для pip install --report detection. Значение по умолчанию использует индекс PyPi, если только по умолчанию pip не настроены глобально.