注意
站点管理员必须先为 你的 GitHub Enterprise Server 实例设置 Dependabot updates,然后你才能使用此功能。 有关详细信息,请参阅 为企业启用 Dependabot.
如果企业所有者在企业级别设置了策略,你可能无法启用或禁用 Dependabot updates。 有关详细信息,请参阅“强制实施企业的代码安全性和分析策略”。
关于 Dependabot version updates
Dependabot 负责维护您的依赖项。 您可以使用它来确保仓库自动跟上它所依赖的包和应用程序的最新版本。
当 Dependabot 提出拉取请求时,这些拉取请求可以是安全更新或版本更新:
- Dependabot security updates 是自动拉取请求,可帮助你更新已知漏洞的信赖项。
- Dependabot version updates 是自动拉取请求,即使它们没有任何漏洞,也会保持更新依赖项。 要检查版本更新的状态,请导航到你的仓库的“Insights”选项卡,然后选择“Dependency Graph”和“Dependabot”。********
通过将 dependabot.yml 配置文件签入存储库,可启用 Dependabot version updates。
软件包更新
配置文件 dependabot.yml 指定存储在存储库中的清单或其他包定义文件的位置。 Dependabot 使用此信息检查过时的包和应用程序。 Dependabot 通过查看依赖项的语义版本控制 (semver) 来确定是否存在新版本的依赖项,从而决定它是否应该更新到该版本。 有关受支持的仓库和生态系统的详细信息,请参阅“Dependabot 支持的生态系统和存储库”。
还可以将 dependabot.yml 文件配置为告知 Dependabot 如何维护依赖项。 有关详细信息,请参阅“关于 dependabot.yml 文件”。
对于某些软件包管理器,Dependabot version updates 也支持供应。 供应(或缓存)的依赖项是检入仓库中特定目录的依赖项,而不是在清单中引用的依赖项。 即使包服务器不可用,供应的依赖项在生成时也可用。 Dependabot version updates 可以配置为检查为新版本供应的依赖项,并在必要时更新它们。
当 Dependabot 发现过时的依赖项时,它将引发一个拉取请求,用于将清单更新到依赖项的最新版本。 对于供应和依赖项,Dependabot 提出拉取请求以直接将过时的依赖项替换为新版本。 检查测试是否通过,查看拉取请求摘要中包含的更改日志和发行说明,然后合并它。 有关详细信息,请参阅“配置 Dependabot 版本更新”。
如果启用_安全更新_,Dependabot 还会发起拉取请求以更新存在漏洞的依赖项。 有关详细信息,请参阅“关于 Dependabot 安全更新”。
针对操作的更新
操作通常使用漏洞修复和新功能进行更新,以使自动化流程更可靠、更快速、更安全。 当你为 GitHub Actions 启用 Dependabot version updates 后,Dependabot 将帮助确保存储库的 workflow.yml 文件中对操作的引用,以及工作流中使用的可重用工作流,始终保持最新。
对于文件中的每个操作,Dependabot 根据最新版本检查操作的引用(通常是与操作关联的版本号或提交标识符)。 如果操作有更新的版本,Dependabot 将向你发送拉取请求,要求将工作流程文件中的引用更新到最新版本。
Dependabot 还会检查工作流文件中对可重用工作流的使用情况,并更新这些被调用的可重用工作流的 Git 引用。
若要启用此功能,请参阅 使用 Dependabot 保持操作的最新状态。
关于 Dependabot updates
的自动停用
关于 Dependabot 版本更新通知
您可以按 GitHub 筛选通知,以显示由 Dependabot创建的拉取请求的通知。 有关详细信息,请参阅“在收件箱中管理通知”。