Ecossistemas de pacotes suportados
A verificação de dependência suporta dependências diretas e transitivas para todos os ecossistemas de pacotes suportados. A verificação de dependência não consegue detetar dependências de fornecedores em seu repositório.
Devido à forma como a deteção é executada para verificação de dependência, certifique-se de ter uma etapa de restauração de pacote em seu pipeline de compilação para que a versão correta do pacote seja determinada, caso contrário, os resultados podem estar ausentes ou incompletos.
Ecossistemas e versões
| Gestor de pacotes | Idiomas | Formatos suportados | Versões suportadas |
|---|---|---|---|
| Carga | Rust | Cargo.toml, Cargo.lock |
v1 |
| CacauPods | Swift | Podfile.lock |
n/d |
| Módulos Go | Go | go.mod, go.sum |
n/d |
| Gradle | Java | *.lockfile |
n/d |
| Maven | Java | pom.xml |
n/d |
| npm | JavaScript | package-lock.json, package.json, npm-shrinkwrap.json, lerna.json |
v6, v7 & lockfile <= v3 |
| NuGet | C# | *.packages.config, *.project.assets, *.csproj |
n/d |
| pip | Python | setup.py, requirements.txt |
n/d |
| PNPM | JavaScript | package.json |
v7, v8 |
| RubyGems | Ruby | Gemfile.lock |
n/d |
| Fios | JavaScript | package.json |
v1, v2 |
Carrinha
Se Cargo cli instalado com v1.77 ou superior, cargo metadata é usado, o que é mais preciso.
Módulos Go
Se estiver usando Go v1.17 ou superior, go.mod é usado diretamente, juntamente com o go cli se estiver presente no agente. Caso contrário, o go.sum arquivo será verificado.
Maven
A deteção requer que a maven CLI seja instalada no agente.
npm
A verificação de dependência deteta quaisquer arquivos raiz package.json , mas não resolve versões específicas de pacotes sem uma restauração de pacote no momento da compilação, package.json mesmo que as dependências no não sejam semanticamente versionadas.
NuGet
Sem uma restauração de pacote, a *.csproj verificação de dependência não resolve nenhuma versão específica do pacote, mesmo que as dependências no não sejam semanticamente versionadas.
pip
Use pip v22.2.0 ou superior para permitir o uso da pip report varredura, que fornece uma deteção mais precisa.
A variável PIP_INDEX_URL de ambiente é usada para determinar para que alimentação da embalagem deve ser usada pip install --report detection. O valor padrão usa o índice PyPi, a menos que os padrões pip sejam configurados globalmente.