基于 Dependabot 的 Go 依赖图

Source: GitHub Changelog

Dependabot DGS for Go

继续围绕供应链安全主题，不断提升我们对包生态系统的支持，Go 项目现在将在其依赖图和软件材料清单（SBOM）中看到更完整、更准确的传递依赖树。

动态版本解析

由于 Go 动态解析依赖版本，获取项目依赖的准确视图不能依赖静态解析。

新的 Dependabot 作业

当一次提交更新了项目的 go.mod，GitHub 会运行一种新类型的 Dependabot 作业，完成以下工作：

1. 构建依赖快照。
2. 将快照上传至 Dependency Submission API。

好处

• 不计入 Action‑minute 费用 – 该过程不会产生 GitHub Actions 分钟的费用。
• 组织范围的配置 – 该作业可以访问您在组织中为 Dependabot 配置的私有注册表设置。

了解更多

欲获取更多细节，请参阅关于 Configuring the dependency graph 的文档。