Обновления версий Dependabot

Вы можете поддерживать Dependabot обновление пакетов до последних версий.

Кто может использовать эту функцию?

Dependabot version updates доступен для следующих репозиториев:

  • Все репозитории на GitHub

В этой статье

Около Dependabot version updates

Dependabot Это убирает усилия по поддержанию зависимости. Используйте его, чтобы обеспечить автоматическую синхронизацию репозитория с последними выпусками пакетов и приложений, от которых он зависит.

Когда Dependabot вызывает запросы на вытягивание, такие запросы могут быть предназначены для обновлений безопасности или версий:

  • Dependabot security updates  — это автоматизированные запросы на вытягивание, позволяющие обновлять зависимости с известными уязвимостями.
  • Dependabot version updates  — это автоматизированные запросы на вытягивание, позволяющие поддерживать зависимости в актуальном состоянии, даже если у них нет уязвимостей. Чтобы проверить состояние обновлений версий, перейдите на вкладку "Аналитика " репозитория, а затем выберите Граф зависимостей и Dependabot.

Вы активируете Dependabot version updates , проверяя dependabot.yml конфигурационный файл в своём репозитории.

Dependabot и все связанные функции охватываются лицензионным соглашением. Дополнительные сведения см. в разделе GitHub Условия клиента Enterprise.

Обновления пакетов

Конфигурационный dependabot.yml файл указывает местоположение манифеста или других файлов определения пакета, хранящихся в вашем репозитории. Dependabot использует эту информацию для проверки устаревших пакетов и приложений. Dependabot определяет, существует ли новая версия зависимости, анализируя семантическое версионирование (semver) зависимости, чтобы решить, следует ли обновлять до этой версии. Сведения о поддерживаемых репозиториях и экосистемах см. в разделе Поддерживаемые экосистемы и репозитории Dependabot.

dependabot.yml Файл также можно настроить так, чтобы показыватьDependabot, как поддерживать зависимости. Дополнительные сведения см. в разделе О файле dependabot.yml.

Для некоторых менеджеров пакетов также Dependabot version updates поддерживается вендоринг. Зависимости от поставщиков (или кэшированные зависимости) — это зависимости, которые записываются в определенный репозиторий вместо указания в манифесте. Зависимости от поставщиков доступны во время сборки, даже если серверы пакетов недоступны. Dependabot version updates может быть настроен для проверки зависимостей поставщика для новых версий и их обновления при необходимости.

При Dependabot выявлении устаревшей зависимости возникает pull request на обновление манифеста до последней версии зависимости. Для зависимостей от поставщиков Dependabot возникает pull request, чтобы напрямую заменить устаревшую зависимость новой версией. Проверьте, что тесты пройдены, просмотрите журнал изменений и заметки о выпуске, включенные в сводку запроса на вытягивание, а затем объедините запрос на вытягивание. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.

Если включить обновления безопасности, Dependabot также появляются pull запросы на обновление уязвимых зависимостей. Дополнительные сведения см. в разделе Обновления для системы безопасности Dependabot.

Обновления действий

Действия часто обновляются с помощью исправлений ошибок и новых компонентов, чтобы сделать автоматизированные процессы более надежными, быстрыми и безопасными. Когда вы включите Dependabot version updates , GitHub ActionsDependabot это поможет гарантировать, что ссылки на действия в workflow.yml файле репозитория и повторно используемые рабочие процессы, используемые внутри рабочих процессов, будут актуальны.

Для каждого действия в файле Dependabot проверяется ссылка действия (обычно номер версии или идентификатор комита, связанный с этим действием) с последней версией. Если доступна более свежая версия действия, Dependabot он отправит вам pull request, который обновит ссылку в файле workflow до последней версии.

Dependabot также проверяет файлы рабочих процессов на предмет использования повторно используемых рабочих процессов и обновляет Git-ссылку для этих называемых повторно используемых рабочих процессов.

Чтобы включить эту функцию, см. Поддержка актуальности действий с помощью Dependabot.

Об автоматической деактивации Dependabot updates

Когда поддержка репозитория перестает взаимодействовать с запросами на вытягивание Dependabot, Dependabot временно приостанавливает обновления и позволяет узнать, см . раздел AUTOTITLE.

О уведомлениях об Dependabot обновлениях версий

Вы можете отфильтровать уведомления, GitHub чтобы показывать уведомления для pull request, созданных Dependabot. Дополнительные сведения см. в разделе Управление уведомлениями из папки "Входящие".