我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

关于 Dependabot 安全更新

Dependabot 可通过提出安全更新拉取请求为您修复有漏洞依赖项。

本文内容

关于 Dependabot 安全更新

Dependabot 安全更新 使您更容易修复仓库中的有漏洞依赖项。 如果启用此功能,当 Dependabot 针对仓库依赖关系图中的有漏洞依赖项发出警报时,Dependabot 将自动尝试修复它。 更多信息请参阅“关于漏洞依赖项的警报”和“配置 Dependabot 安全更新”。

Dependabot 将检查是否可以在不破坏仓库依赖关系图的情况下将有漏洞依赖项升级到已修复版本。 然后,Dependabot 提出拉取请求以将依赖项更新到包含补丁的最低版本,并将拉取请求链接到 Dependabot 警报,或者在警报中报告错误。 更多信息请参阅“排查 Dependabot 错误”。

Dependabot 安全更新 功能适用于已启用依赖关系图和 Dependabot 警报 的仓库。 您将在完整的依赖关系图中看到针对已发现的每个有漏洞依赖项的 Dependabot 警报。 但是,安全更新仅针对清单或锁定文件中指定的依赖项而触发。 Dependabot 无法更新未明确定义的间接或过渡依赖项。 更多信息请参阅“关于依赖关系图”。

关于安全更新的拉取请求

每个拉取请求都包含快速、安全地查看提议的修复程序并将其合并到项目中所需的全部内容。 这包括漏洞的相关信息,如发行说明、变更日志条目和提交详细信息。 无法访问仓库的 Dependabot 警报 的任何人都看不到拉取请求所解决的漏洞详细信息。

当您合并包含安全更新的拉取请求时,仓库的相应 Dependabot 警报将被标记为已解决。 有关 Dependabot 拉取请求的更多信息,请参阅“管理依赖项更新的拉取请求”。

注:自动化测试和验收过程是一项好做法,这样可在合并拉取请求之前进行检查。 如果建议的升级版本包含额外的功能,或者更改会中断您的项目代码,这种做法尤其重要。 有关持续集成的更多信息,请参阅“关于持续集成”。

关于兼容性分数

Dependabot 安全更新 可能包括兼容性分数,以便您了解更新漏洞是否可能导致对项目的重大更改。 这些分数是根据已生成相同安全更新的其他公共仓库中的 CI 测试计算的。 更新的兼容性分数是在依赖项的特定版本之间进行更新时,CI 运行被视为通过的百分比。

关于 Dependabot 安全更新通知

您可以在 GitHub 上过滤通知以显示 Dependabot 安全更新。 更多信息请参阅“从收件箱管理通知”。

此文档对您有帮助吗?

Privacy policy

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。