注: Dependabot 版本更新 目前处于测试阶段,可能会有变动。 要使用测试版功能,请在配置文件中登记,告诉 Dependabot 为您保留哪些依赖项。 详情请参阅“启用和禁用版本更新。”
关于操作的 Dependabot 版本更新
操作通常使用漏洞修复和新功能进行更新,以使自动化流程更可靠、更快速、更安全。 为 GitHub Actions 启用 Dependabot 版本更新 时,Dependabot 将帮助确保仓库 workflow.yml 文件中操作的引用保持最新。 对于文件中的每个操作,Dependabot 根据最新版本检查操作的引用(通常是与操作关联的版本号或提交标识符)。 如果操作有更新的版本,Dependabot 将向您发送拉取请求,要求将工作流程文件中的引用更新到最新版本。 有关 Dependabot 版本更新 的更多信息,请参阅“关于 Dependabot 版本更新”。 有关为 GitHub Actions 配置工作流程的更多信息,请参阅“了解 GitHub Actions”。
为操作启用 Dependabot 版本更新
- 创建 dependabot.yml 配置文件。 如果您已经为其他生态系统或包管理器启用 Dependabot 版本更新,只需打开现有的 dependabot.yml 文件。
- 将
"github-actions"指定为要监控的package-ecosystem。 - 将
directory设置为"/"以检查.github/workflows中的工作流程文件。 - 设置
schedule.interval指定检查新版本的频率。 - 将 dependabot.yml 配置文件签入仓库的
.github目录。 如果已编辑现有文件,请保存所做的更改。
您也可以在复刻上启用 Dependabot 版本更新。 更多信息请参阅“启用和禁用版本更新。”
例如用于 GitHub Actions 的 dependabot.yml 文件
下面的示例 dependabot.yml 文件配置为 GitHub Actions 的版本更新。 directory 必须设置为 "/" 才可检查 .github/workflows 中的工作流程文件。 schedule.interval 设置为 "daily"。 在该文件被检入或更新后,Dependabot 将检查您的操作的新版本。 Dependabot 在发现任何过时的操作时,将会提出版本更新的拉取请求。 在初始版本更新后, Dependabot 将继续每天检查一次过时的操作。
# Set update schedule for GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every weekday
interval: "daily"
为操作配置 Dependabot 版本更新
为操作启用 Dependabot 版本更新 时,必须指定 package-ecosystem、directory 和 schedule.interval 的值。 您可以设置更多可选属性来进一步自定义版本更新。 更多信息请参阅“依赖项更新的配置选项。”