# Pull-запросы Dependabot Понимайте частоту и опции настройки pull-запросов на обновления версий и безопасности. ## Pull запросы на обновления безопасности Если вы включили обновления безопасности, pull запросы на обновления безопасности запускаются Dependabot оповещением о зависимости от вашей стандартной ветки. Dependabot Автоматически вызывает pull request для обновления уязвимой зависимости. Каждый запрос на вытягивание содержит все необходимое для быстрого и безопасного просмотра и слияния предлагаемого исправления в проект. Сюда входят сведения об уязвимости, такие как заметки о выпуске, записи журнала изменений и сведения о фиксации. Детали того, какую уязвимость разрешает pull-запрос, скрыты от тех, кто не имеет доступа Dependabot alerts к репозиторию. Когда вы объединяете pull request, содержащий обновление безопасности, соответствующее Dependabot оповещение отмечается как разрешённое для вашего репозитория. Для получения дополнительной информации о Dependabot pull requests см. [AUTOTITLE.](/ru/enterprise-server@3.20/code-security/dependabot/working-with-dependabot/managing-pull-requests-for-dependency-updates) > \[!NOTE] > Рекомендуется использовать автоматизированные тесты и процессы принятия, чтобы проверки выполнялись до объединения запроса на вытягивание. Это особенно важно, если предлагаемая версия для обновления содержит дополнительные функциональные возможности или изменение, которое нарушает код проекта. Дополнительные сведения о непрерывной интеграции см. в разделе [Непрерывная интеграция](/ru/enterprise-server@3.20/actions/automating-builds-and-tests/about-continuous-integration). ### Настройка pull-запросов для обновлений безопасности Вы можете настроить способ Dependabot повышения pull request-запросов на обновления безопасности, чтобы они лучше соответствовали приоритетам и процессам безопасности вашего проекта. Рассмотрим пример. * **Оптимизируйте Dependabot pull-запросы для приоритета значимых обновлений** , объединяя несколько обновлений в один pull request. * Применяйте пользовательские метки, **чтобы интегрировать Dependabotpull-запросы** в ваши текущие рабочие процессы. Как и обновления версий, параметры настройки обновлений безопасности определяются в `dependabot.yml` файле. Если вы уже настроили `dependabot.yml` обновления версий, то многие из параметров конфигурации, определенных вами, также могут применяться к обновлениям системы безопасности. Однако есть несколько важных моментов, которые стоит отметить: * Dependabot security updates всегда **срабатывают через предупреждение безопасности**, а не выполняются согласно `schedule` установленному варианту `dependabot.yml` для обновлений версий. * Dependabot Поднимает pull запросы на обновления безопасности **только на стандартной ветке**. Если ваша конфигурация задает значение `target-branch`, то настройка для этой экосистемы пакетов будет применяться только к обновлениям версий по умолчанию. Дополнительные сведения см. в разделе [Настройка запросов на вытягивание обновлений безопасности Dependabot](/ru/enterprise-server@3.20/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/customizing-dependabot-security-prs). ## Pull запросы на обновления версий Для обновлений версий вы указываете, как часто проверять новые версии каждой экосистемы в конфигурационном файле: ежедневно, еженедельно или ежемесячно. При первом включении обновлений версий может присутствовать много устаревших зависимостей, а некоторые из них могут быть устаревшими на много версий по сравнению с последней. Dependabot проверяет наличие устаревших зависимостей сразу после включения. Новые запросы на вытягивание обновлений версий могут отобразиться в течение нескольких минут после добавления файла конфигурации в зависимости от количества файлов манифеста, для которых настроены обновления. Dependabot также запустит обновление последующих изменений в файле конфигурации. Для обеспечения управляемости запросов на вытягивание и упрощения их проверки Dependabot создает не более пяти запросов на вытягивание, чтобы приступить к обновлению зависимостей до последней версии. В случае слияния некоторых из этих первых запросов на вытягивание до следующего запланированного обновления оставшиеся запросы на вытягивание откроются в том же максимальном количестве при следующем обновлении. Вы можете изменить максимальное количество открытых запросов на вытягивание, задав [параметр конфигурации`open-pull-requests-limit`](/ru/enterprise-server@3.20/code-security/dependabot/working-with-dependabot/dependabot-options-reference#open-pull-requests-limit-). Чтобы уменьшить количество запросов на вытягивание, которые вы видите, можно использовать [`groups`](/ru/enterprise-server@3.20/code-security/dependabot/working-with-dependabot/dependabot-options-reference#groups--) параметр конфигурации для группирования наборов зависимостей вместе (на экосистему пакетов). Затем Dependabot создает один запрос на вытягивание, чтобы обновить столько зависимостей в группе до последних версий одновременно. Для получения дополнительной информации см. [Оптимизация создания запросов на вытягивание обновлений версий Dependabot](/ru/enterprise-server@3.20/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates). ## Команды для Dependabot pull request Dependabot отвечает на простые команды в комментариях. Каждый pull request содержит детали команд, которые можно использовать для обработки pull request (например: слияние, сжатие, повторное открытие, закрытие или перебазирование pull request) в разделе «Dependabot команды и опции». Цель состоит в том, чтобы как можно больше упростить рассмотрение этих автоматически созданных запросов на вытягивание. Дополнительные сведения см. в разделе [Команды комментариев Dependabot pull request](/ru/enterprise-server@3.20/code-security/reference/supply-chain-security/dependabot-pull-request-comment-commands).