Skip to main content

此版本的 GitHub Enterprise 将停止服务 2023-01-18. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

管理依赖项更新的所有拉取请求

您可以按和其他拉取请求大致相同的方式管理 Dependabot 提出的拉取请求,但也有一些额外的选项。

Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.

注意:站点管理员必须先为 your GitHub Enterprise Server instance设置 Dependabot updates,然后你才能使用此功能。 有关详细信息,请参阅“对企业启用 Dependabot”。

关于 Dependabot 拉取请求

Dependabot 提出拉取请求,以更新依赖项。 Dependabot 可能会针对版本更新和/或安全更新提出拉取请求,具体取决于存储库的配置方式。 您可以按与任何其他拉取请求相同的方式管理这些拉取请求,但也有一些额外的可用命令。 有关启用 Dependabot 依赖项更新的信息,请参阅配置 Dependabot security updates启用和禁用 Dependabot 版本更新

当 Dependabot 提出拉取请求时,将以您为仓库选择的方式通知您。 每个拉取请求都包含关于来自包管理器的拟议变更的详细信息。 这些拉取请求将遵循仓库中定义的正常检查和测试。

如果您有多个依赖项要管理,可能会希望为每个包管理器自定义配置,以便拉取请求拥有特定的审查者、受理人和标签。 有关详细信息,请参阅“自定义依赖项更新”。

查看 Dependabot 拉取请求

  1. On your GitHub Enterprise Server instance, navigate to the main page of the repository. 1. 在存储库名称下,单击 “拉取请求”。 拉取请求选项卡选择
  2. 安全或版本更新的任何拉取请求都很容易识别。
    • 作者为 dependabot,即 Dependabot 使用的机器人帐号。
    • 默认情况下,它们具有 dependencies 标签。

更改 Dependabot 拉取请求的变基策略

默认情况下,Dependabot 会自动为拉取请求变基,以解决各种冲突。 如果你希望手动处理合并冲突,可以使用 rebase-strategy 选项禁用此功能。 有关详细信息,请参阅“dependabot.yml 文件的配置选项”。

允许 Dependabot 变基并强制推送额外的提交

默认情况下,一旦向其推送了额外的提交,Dependabot 将停止变基拉取请求。 若要允许 Dependabot 强制推送添加到其分支的提交,将以下任一字符串:[dependabot skip][skip dependabot][dependabot-skip][skip-dependabot] 以小写或大写形式包含到提交消息。

管理带注释命令的 Dependabot 拉取请求

Dependabot 会响应注释中的简单命令。 每个拉取请求都在“Dependabot 命令和选项”部分下包含您可以用来处理拉取请求的命令(例如:合并、压缩、重新打开、关闭或变基拉取请求)的详细信息。 其目的是让您尽可能轻松地将这些自动生成的拉取请求分类。

您可以在 Dependabot 拉取请求中使用以下任何命令。

  • @dependabot cancel merge 取消以前请求的合并。
  • @dependabot close 将关闭拉取请求,并阻止 Dependabot 重新创建该拉取请求。 您可以通过手动关闭拉取请求来实现相同的结果。
  • @dependabot ignore this dependency 将关闭拉取请求并阻止 Dependabot 为这个依赖项创建更多拉取请求(除非你重新打开拉取请求或自行升级到推荐的该依赖项版本)。
  • @dependabot ignore this major version 将关闭拉取请求并阻止 Dependabot 为这个主版本创建更多拉取请求(除非你重新打开拉取请求或自行升级到此主版本)。
  • @dependabot ignore this minor version 将关闭拉取请求并阻止 Dependabot 为这个次要版本创建更多拉取请求(除非你重新打开拉取请求或自行升级到此次要版本)。
  • @dependabot merge 在 CI 测试通过后合并拉取请求。
  • @dependabot rebase 变基拉取请求。
  • @dependabot recreate 重新创建拉取请求,覆盖对拉取请求所作的任何编辑。
  • 如果拉取请求已关闭,@dependabot reopen 将重新打开拉取请求。
  • @dependabot squash and merge 在 CI 测试通过后将压缩并合并拉取请求。

Dependabot 将用“竖起大拇指”表情符号来确认命令,并可能对拉取请求发表评论。 Dependabot 通常快速响应,但如果 Dependabot 正在忙于处理其他更新或命令,一些命令可能需要几分钟才能完成。

如果您通过运行任何命令来忽略依赖项或版本,Dependabot 将集中存储仓库的首选项。 虽然这是一种快速解决方案,但对于拥有多个参与者的仓库而言,最好是显式定义要在配置文件中忽略的依赖项和版本。 这样可以让所有参与者都能轻松了解某个特定依赖项为什么无法自动更新。 有关详细信息,请参阅“dependabot.yml 文件的配置选项”。