拉取安全更新请求
如果你已启用安全更新,系统会因你的默认分支上某个依赖项的 Dependabot 警报而触发安全更新拉取请求。 Dependabot 自动引发拉取请求以更新易受攻击的依赖项。
每个拉取请求都包含快速、安全地查看提议的修复程序并将其合并到项目中所需的全部内容。 这包括漏洞的相关信息,如发行说明、变更日志条目和提交详细信息。 有关拉取请求修复了哪个漏洞的详细信息,对任何无权访问该仓库的 Dependabot alerts 的人都是隐藏的。
当你合并包含安全更新的拉取请求时,你的仓库中相应的 Dependabot 警报会被标记为已解决。 有关 Dependabot 拉取请求的详细信息,请参阅 管理依赖项更新的所有拉取请求。
注意
最好制定自动测试和验收流程,以便在合并拉取请求之前执行检查。 如果建议的升级版本包含额外的功能,或者更改会中断您的项目代码,这种做法尤其重要。 有关持续集成的详细信息,请参阅“持续集成”。
自定义安全更新的拉取请求
您可以自定义 Dependabot 如何为安全更新创建拉取请求,以便最符合您项目的安全优先级和流程。 例如:
- 通过将多个更新分组到单个拉取请求中来优化Dependabot拉取请求,以确定有意义的更新的优先级。
- 为将 Dependabot 的拉取请求集成到您现有的工作流中应用自定义标签。
与版本更新类似,安全更新的自定义选项在 dependabot.yml 文件中定义。 如果已经为版本更新自定义了 dependabot.yml,则你定义的许多配置选项可能也会自动应用于安全更新。 但是,需要注意几个要点:
- Dependabot security updates
始终由安全公告触发,而不是根据
schedule你在版本更新中dependabot.yml设置的设置运行。 - Dependabot
仅针对默认分支引发安全更新的拉取请求。 如果你的配置为
target-branch设置了值,则该包生态系统的自定义默认情况下仅适用于版本更新。
有关详细信息,请参阅“自定义 Dependabot 安全更新的拉取请求”。
版本更新的拉取请求
对于版本更新,请指定检查每个生态系统的配置文件中的新版本的频率:每日、每周或每月。
首次启用版本更新时,您可能有很多过时的依赖项,其中一些可能为许多落后于最新版本的版本。 Dependabot 将在其启用后立即检查过时的依赖项。 根据您配置更新的清单文件的数量,您可能会在添加配置文件后几分钟内看到新的版本更新拉取请求。 Dependabot 也会在配置文件后续更改时运行更新。
为使拉取请求保持可管理和易于审查,Dependabot 最多提出五个拉取请求,以便开始将依赖项更新至最新版本。 如果您在下次预定的更新之前先合并了这些拉取请求,剩余的拉取请求将在下次更新时打开,最多不超过此限。 可以通过设置open-pull-requests-limit配置选项来更改打开的拉取请求的最大数量。
若要进一步减少可能看到的拉取请求数,可以使用 groups 配置选项将依赖项集组合在一起(每个包生态系统)。 然后,Dependabot 提出单个拉取请求,以将组中尽可能多的依赖项同时更新到最新版本。 有关详细信息,请参阅 优化 Dependabot 版本更新的拉取请求创建。
拉取请求的 Dependabot 命令
Dependabot 响应注释中的简单命令。 每个拉取请求都包含可用于处理拉取请求的命令的详细信息(例如:在“命令和选项”Dependabot 部分下合并、挤压、重新打开、关闭或重新设置拉取请求)。 其目的是让你尽可能轻松地将这些自动生成的拉取请求分类。 有关详细信息,请参阅“Dependabot 拉取请求注释命令”。