Paketekosystem som stöds
Beroendegenomsökning stöder både direkta och transitiva beroenden för alla paketekosystem som stöds. Beroendegenomsökning kan inte identifiera leverantörsberoenden på lagringsplatsen.
På grund av hur identifieringen körs för beroendegenomsökning kontrollerar du att du har ett steg för paketåterställning i bygg-pipelinen så att rätt paketversion fastställs, annars kanske resultatet saknas eller är ofullständigt.
Ekosystem och versioner
| Pakethanterare | Språk | Format som stöds | Versioner som stöds |
|---|---|---|---|
| Last | Rust | Cargo.toml, Cargo.lock |
v1 |
| CocoaPods | Swift | Podfile.lock |
saknas |
| Go-moduler | Go | go.mod, go.sum |
saknas |
| Gradle | Java | *.lockfile |
saknas |
| Maven | Java | pom.xml |
saknas |
| npm | JavaScript | package-lock.json, package.json, , npm-shrinkwrap.jsonlerna.json |
v6, v7 & lockfile <= v3 |
| NuGet | C# | *.packages.config, , *.project.assets*.csproj |
saknas |
| pip | Python | setup.py, requirements.txt |
saknas |
| pnpm | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
saknas |
| Garn | JavaScript | package.json |
v1, v2 |
Godstransport
Om Cargo cli har installerats med v1.77 eller senare cargo metadata används, vilket är mer exakt.
Go-moduler
Om du använder Go v1.17 eller senare go.mod används direkt, tillsammans med go cli om det finns på agenten. Annars genomsöks go.sum filen.
Maven
Identifiering kräver maven att CLI installeras på agenten.
npm
Beroendegenomsökning identifierar rotfiler package.json men löser inte specifika paketversioner utan en paketåterställning vid byggtillfället även om beroenden i package.json inte är semantiskt versionerade.
NuGet
Utan en paketåterställning löser beroendegenomsökning inte några specifika paketversioner även om beroenden i *.csproj inte är semantiskt versionerade.
pip
Använd pip v22.2.0 eller högre för att aktivera användning av genomsökning pip report , vilket ger mer exakt identifiering.
Miljövariabeln PIP_INDEX_URL används för att avgöra vilket paketflöde som ska användas för pip install --report detection. Standardvärdet använder PyPi-indexet om inte standardvärdena för pip har konfigurerats globalt.