Die dependabot.yml Datei ist eine optionale Konfigurationsdatei, mit der Sie genau steuern können, wie Dependabot Abhängigkeiten (hauptsächlich Versionsupdates , aber auch Sicherheitsupdates) in Ihrem Repository überwacht und aktualisiert.
Ohne Datei dependabot.yml können Dependabot weiterhin Sicherheitsupdates für anfällige Abhängigkeiten erstellen, wenn Sie Dependabot security updates in Ihren Repositoryeinstellungen aktiviert haben. Sie erhalten jedoch keine automatisierten Versionsupdates oder haben keine Kontrolle über Updatezeitpläne und andere Konfigurationsoptionen.
Die dependabot.yml Datei verwendet YAML-Syntax. Wenn Sie noch nicht mit YAML arbeiten und mehr erfahren möchten, lesen Sie den Artikel zum Erlernen von YAML in fünf Minuten.
Hinweis
Dependabot alerts sind auf der Registerkarte „Repository“ oder der Organisationsregisterkarte „Einstellungen“ und nicht in der dependabot.yml-Datei konfiguriert, wie unter Konfigurieren von Dependabot-Warnungen erläutert wird.
Funktionsweise der dependabot.yml Datei
Die dependabot.yml Datei kontrolliert, wie Dependabot Aktualisierungen deiner Abhängigkeiten durchführt. Mit dieser Datei können Sie:
Für Versionsupdates
- Aktivieren automatisierter Versionsupdates
- Angeben, welche Paketökosysteme und Verzeichnisse überwacht werden sollen
- Festlegen von Updatezeitplänen
- Anpassen der Pull-Request-Labels, der Zugewiesenen, der Gutachter und der Commit-Nachrichten
- Steuern, welche Abhängigkeiten aktualisiert oder ignoriert werden
- Konfigurieren der Authentifizierung für private Registrierungen
Für Sicherheitsupdates
- Pull-Anfragen für Sicherheitsupdates anpassen mit Labels, Zuständigen und Gutachtern
- Definieren von Zielzweigen für Sicherheitsupdates
- Konfiguration der Authentifizierung für privates Register
- Festlegen von Grenzwerten für offene Pullanforderungen
Speicherort der dependabot.yml Datei
Sie müssen diese Datei im .github-Verzeichnis Ihrer Standardverzweigung (in der Regel main) Ihres Repositorys speichern. Der Pfad lautet: .github/dependabot.yml.
Funktionsweise der dependabot.yml Datei
Wenn Sie die dependabot.yml Datei in Ihrem Repository hinzufügen oder aktualisieren, liest Dependabot die Konfiguration und beginnt mit der Überwachung der angegebenen Paketökosysteme gemäß Ihren definierten Zeitplänen. Wenn Dependabot verfügbare Updates findet, werden Pull Requests mit den Abhängigkeitsänderungen erstellt, entsprechend den Anpassungsregeln, die Sie in der Konfiguration angegeben haben.
Für die Konfigurationsdatei müssen die folgenden Schlüssel für jedes Paketökosystem angegeben werden.
-
** `version` **: Feld der obersten Ebene, das die Syntaxversion der Dependabot-Konfiguration angibt. -
** `updates` **: Abschnitt der obersten Ebene, in dem Sie jedes Paketökosystem definieren, das auf Updates überwacht werden soll. -
** `package-ecosystem` **: Definiert unter `updates`, gibt an, welcher Paket-Manager aktualisiert werden soll (z. B. npm, pip oder Docker). -
** `directories` oder `directory`**: Definiert unter jedem `package-ecosystem` Eintrag, gibt den Speicherort von Manifest- oder Abhängigkeitsdefinitionsdateien an. -
** `schedule.interval` **: Definiert unter jedem `package-ecosystem` Eintrag, legt fest, wie oft nach Versionsupdates (`daily`, `weekly`oder `monthly`) gesucht werden soll.
Einfaches Beispiel
Hier ist eine minimale dependabot.yml Datei, die npm-Abhängigkeiten täglich überwacht:
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
Nächster Schritt
- Konfigurieren Sie Ihr Repository so, dass Dependabot automatisch die von Ihnen verwendeten Pakete aktualisiert, siehe Konfigurieren von Dependabot-Versionsupdates