关于 Dependabot 安全更新
Dependabot 安全更新 使您更容易修复仓库中的有漏洞依赖项。 如果启用此功能,当 Dependabot 针对仓库依赖关系图中的有漏洞依赖项发出警报时,Dependabot 将自动尝试修复它。 更多信息请参阅“关于漏洞依赖项的警报”和“配置 Dependabot 安全更新”。
Dependabot 将检查是否可以在不破坏仓库依赖关系图的情况下将有漏洞依赖项升级到已修复版本。 然后,Dependabot 提出拉取请求以将依赖项更新到包含补丁的最低版本,并将拉取请求链接到 Dependabot 警报,或者在警报中报告错误。 更多信息请参阅“排查 Dependabot 错误”。
注
Dependabot 安全更新 功能适用于已启用依赖关系图和 Dependabot 警报 的仓库。 您将在完整的依赖关系图中看到针对已发现的每个有漏洞依赖项的 Dependabot 警报。 但是,安全更新仅针对清单或锁定文件中指定的依赖项而触发。 Dependabot 无法更新未明确定义的间接或过渡依赖项。 更多信息请参阅“关于依赖关系图”。
关于安全更新的拉取请求
每个拉取请求都包含快速、安全地查看提议的修复程序并将其合并到项目中所需的全部内容。 这包括漏洞的相关信息,如发行说明、变更日志条目和提交详细信息。 无法访问仓库的 Dependabot 警报 的任何人都看不到拉取请求所解决的漏洞详细信息。
当您合并包含安全更新的拉取请求时,仓库的相应 Dependabot 警报将被标记为已解决。 有关 Dependabot 拉取请求的更多信息,请参阅“管理依赖项更新的拉取请求”。
注:自动化测试和验收过程是一项好做法,这样可在合并拉取请求之前进行检查。 如果建议的升级版本包含额外的功能,或者更改会中断您的项目代码,这种做法尤其重要。 有关持续集成的更多信息,请参阅“关于持续集成”。
关于兼容性分数
Dependabot 安全更新 可能包括兼容性分数,以便您了解更新漏洞是否可能导致对项目的重大更改。 这些分数是根据已生成相同安全更新的其他公共仓库中的 CI 测试计算的。 更新的兼容性分数是在依赖项的特定版本之间进行更新时,CI 运行被视为通过的百分比。
关于 Dependabot 安全更新通知
您可以在 GitHub 上过滤通知以显示 Dependabot 安全更新。 更多信息请参阅“从收件箱管理通知”。