Pull-Requests werden von Dependabot nicht mehr aktualisiert

Dependabot kann Updates basierend auf deiner Interaktion mit Pull Requests Dependabot anhalten. Erfahren Sie mehr über die automatische Deaktivierung von Dependabot updates

Wer kann dieses Feature verwenden?

Users with write access

In diesem Artikel

  • Wenn die Maintainer*innen eines Repositorys nicht mehr mit Pull Requests von Dependabot interagieren, hält Dependabot die Updates vorübergehend an und informiert dich.

  • Dependabot stellt das Rebasen von Pull Requests für Versions- und Sicherheitsupdates nach 30 Tagen ein und reduziert Benachrichtigungen für inaktive Dependabot-Pull Requests.

Informationen zur automatischen Deaktivierung von Dependabot updates

Dependabot hält Updates für deine Repositorys an, basierend auf deiner Interaktion mit Pull Requests von Dependabot updates. Wenn Dependabot automatisch Dependabot updates deaktiviert, gilt Folgendes:

  • Keine Erstellung von Pull Requests für Versions- und Sicherheitsupdates
  • Kein Rebase von Dependabot Pull Requests für inaktive Repositories.

Hinweis

Die automatische Deaktivierung von Dependabot-Updates gilt nur für Repositories, in denen Dependabot Pull Requests geöffnet hat, die unbeachtet bleiben. Wenn Dependabot keine Pull Requests geöffnet hat, wird Dependabot auch nicht angehalten.

Ein aktives Repository ist ein Repository, in dem ein Benutzer (nicht Dependabot) in den letzten 90 Tagen eine beliebige der folgenden Aktionen ausgeführt hat:

  • Mergen oder Schließen eines Pull Requests von Dependabot im Repository
  • Vornehmen einer Änderung an der dependabot.yml-Datei für das Repository
  • Manuelles Auslösen eines Sicherheitsupdates oder Versionsupdates
  • Dependabot security updates für das Repository aktiviert.
  • Verwenden des @dependabot-Befehls in Pull Requests

Ein inaktives Repository ist ein Repository...

  • Für das mindestens ein Pull Request von Dependabot seit über 90 Tagen geöffnet ist
  • Das war für den gesamten Zeitraum aktiviert.
  • Für das keine der oben aufgeführten Aktionen von einem Benutzer ausgeführt wurde.

So erkennen Sie, ob Dependabot updates pausiert sind

Wenn Dependabot angehalten ist, fügt GitHub eine Bannerbenachrichtigung hinzu:

  • An alle offenen Dependabot-Pull Requests
  • Zur UI der Registerkarte Settings des Repositorys gehen (unter Advanced Security, dann Dependabot).
  • Zur Liste der Dependabot alerts (if Dependabot security updates sind betroffen).

Darüber hinaus wirst du sehen können, ob Dependabot auf Organisationsebene in der Sicherheitsübersicht angehalten ist. Der paused-Status kann auch über die API eingesehen werden. Weitere Informationen findest du unter REST-API-Endpunkte für Repositorys.

Informationen zur automatischen Reaktivierung von Dependabot updates

Sobald jemand erneut mit einem Pull Request von Dependabot interagiert, wird Dependabot von selbst fortgesetzt:

  • Sicherheitsupdates werden für Dependabot alerts automatisch fortgesetzt.
  • Versionsupdates werden automatisch nach dem Zeitplan fortgesetzt, der in der Datei dependabot.yml angegeben ist.