使用 Dependabot 保持操作的最新状态

您可以使用 Dependabot 来确保您使用的操作更新到最新版本。

关于操作的 Dependabot 版本更新

操作通常使用漏洞修复和新功能进行更新,以使自动化流程更可靠、更快速、更安全。 为 GitHub Actions 启用 Dependabot 版本更新 时,Dependabot 将帮助确保仓库 workflow.yml 文件中操作的引用保持最新。 对于文件中的每个操作,Dependabot 根据最新版本检查操作的引用(通常是与操作关联的版本号或提交标识符)。 如果操作有更新的版本,Dependabot 将向您发送拉取请求,要求将工作流程文件中的引用更新到最新版本。 有关 Dependabot 版本更新 的更多信息,请参阅“关于 Dependabot 版本更新”。 有关为 GitHub Actions 配置工作流程的更多信息,请参阅“了解 GitHub Actions”。

注意: 由 Dependabot 拉取请求触发的工作流程运行就像是来自复刻的仓库一样, 并因此使用只读 GITHUB_TOKEN。 这些工作流程运行无法访问任何密钥。 请参阅“确保 GitHub Actions 和工作流程安全:阻止 pwn 请求”,了解确保这些工作流程安全的策略。

为操作启用 Dependabot 版本更新

  1. 创建 dependabot.yml 配置文件。 如果您已经为其他生态系统或包管理器启用 Dependabot 版本更新,只需打开现有的 dependabot.yml 文件。
  2. "github-actions" 指定为要监控的 package-ecosystem
  3. directory 设置为 "/" 以检查 .github/workflows 中的工作流程文件。
  4. 设置 schedule.interval 指定检查新版本的频率。
  5. dependabot.yml 配置文件签入仓库的 .github 目录。 如果已编辑现有文件,请保存所做的更改。

您也可以在复刻上启用 Dependabot 版本更新。 更多信息请参阅“启用和禁用版本更新。”

例如用于 GitHub Actions 的 dependabot.yml 文件

下面的示例 dependabot.yml 文件配置为 GitHub Actions 的版本更新。 directory 必须设置为 "/" 才可检查 .github/workflows 中的工作流程文件。 schedule.interval 设置为 "daily"。 在该文件被检入或更新后,Dependabot 将检查您的操作的新版本。 Dependabot 在发现任何过时的操作时,将会提出版本更新的拉取请求。 在初始版本更新后, Dependabot 将继续每天检查一次过时的操作。

# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every weekday
      interval: "daily"

为操作配置 Dependabot 版本更新

为操作启用 Dependabot 版本更新 时,必须指定 package-ecosystemdirectoryschedule.interval 的值。 您可以设置更多可选属性来进一步自定义版本更新。 更多信息请参阅“依赖项更新的配置选项。”

延伸阅读

此文档对您有帮助吗?隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。