Informationen zu Updates von Dependabot-Versionen

Du kannst mithilfe von Dependabot deine verwendeten Pakete immer auf die neuesten Version zu aktualisieren.

Wer kann dieses Feature verwenden?

Dependabot version updates ist für die folgenden Repositorys verfügbar:

  • Alle Repositorys auf GitHub

In diesem Artikel

Informationen zu Dependabot version updates

Mit Dependabot ist das Verwalten von Abhängigkeiten so leicht wie noch nie. Mit dem Programm kannst du sicherstellen, dass dein Repository automatisch auf die neuesten Releases der Pakete und Anwendungen aktualisiert wird, von denen es abhängig ist.

Weitere Informationen zu den unterstützten Repositorys und Ökosysteme findest du unter Von Dependabot unterstützte Ökosysteme und Repositorys.

Du aktivierst Dependabot version updates, indem du eine dependabot.yml-Konfigurationsdatei in das Verzeichnis deines Repositorys einchecken. Die Konfigurationsdatei gibt den Speicherort des Manifests oder anderer Paketdefinitionsdateien an, die im Repository gespeichert sind. Dependabot verwendet diese Informationen, um nach veralteten Paketen und Anwendungen zu suchen. Dependabot bestimmt, ob eine neue Version einer Abhängigkeit vorhanden ist, indem du dir die semantische Versionierung (SemVer) der Abhängigkeit ansiehst, um zu entscheiden, ob sie auf diese Version aktualisiert werden soll. Für bestimmte Paketmanager unterstützt Dependabot version updates auch die Anbietererstellung. Gelieferte (oder zwischengespeicherte) Abhängigkeiten sind Abhängigkeiten, die in ein bestimmtes Verzeichnis in einem Repository eingecheckt werden, statt dass auf sie in einem Manifest verwiesen wird. Gelieferte Abhängigkeiten sind zur Build-Zeit verfügbar, auch wenn Paketserver nicht verfügbar sind. Dependabot version updates können so konfiguriert werden, dass gelieferte Abhängigkeiten für neue Versionen überprüft und bei Bedarf aktualisiert werden.

Wenn Dependabot eine veraltete Abhängigkeit identifiziert, löst sie eine Pull Request aus, um das Manifest auf die neueste Version der Abhängigkeit zu aktualisieren. Bei gelieferten Abhängigkeiten löst Dependabot eine Pull Request aus, um die veraltete Abhängigkeit direkt durch die neue Version zu ersetzen. du überprüfst, ob deine Tests übergeben werden, überprüfe die Änderungsprotokoll- und Release-Notizen, die in der Pull-Request-Zusammenfassung enthalten sind, und führe sie dann zusammen. Weitere Informationen finden Sie unter Konfigurieren von Versionsupdates von Dependabot.

Wenn du Sicherheits-Updates aktivierst, löst Dependabot auch Pull Requests aus, um anfällige Abhängigkeiten zu aktualisieren. Weitere Informationen finden Sie unter Informationen zu Dependabot-Sicherheitsupdates.

Wenn Dependabot Pull Requests auslöst, können diese Pull Requests für Sicherheits- oder Versionsupdates gelten:

  • Dependabot security updates sind automatisierte Pull Requests, mit denen Du Abhängigkeiten mit bekannten Sicherheitsrisiken aktualisieren kannst.
  • Dependabot version updates sind automatisierte Pull Requests, mit denen Deine Abhängigkeiten auf dem aktuellen Stand gehalten werden, auch wenn sie keine Sicherheitsrisiken aufweisen. Um den Status von Versionsupdates zu überprüfen, navigiere zur Registerkarte „Erkenntnisse“ Deines Repositorys, dann zum Abhängigkeitsdiagramm und Dependabot.

Dependabot signiert standardmäßig seine eigenen Commits, auch wenn die Commit-Signierung keine Voraussetzung für das Repository ist. Weitere Informationen zu überprüften Commits findest du unter Informationen zur Verifizierung einer Commit-Signatur.

Pull Requests, die von Dependabot geöffnet werden, können Workflows zum Ausführen von Aktionen auslösen. Weitere Informationen findest du unter Automatisieren von Dependabot mit GitHub Actions.

Wenn Sie Dependabot für ein neues Repository aktivieren und GitHub Actions aktiviert ist, werden Dependabot standardmäßig auf GitHub Actions ausgeführt.

Wenn du Dependabot für ein neues Repository aktivierst und GitHub Actions deaktiviert ist, wird Dependabot über die ältere Anwendung in GitHub ausgeführt, um Dependabot updates auszuführen. Dies bietet nicht so gute Leistung, Sichtbarkeit oder Kontrolle von Dependabot updates Jobs wie GitHub Actions. Wenn du Dependabot mit GitHub Actions verwenden möchtest, musst du sicherstellen, dass GitHub Actions von deinem Repository aktiviert wird. Anschließend musst du auf der Advanced Security-Einstellungsseite die Option „Dependabot on Actions runners“ aktivieren. Weitere Informationen findest du unter Informationen zu Dependabot über GitHub Actions-Runner.

Dependabot und alle verwandten Funktionen werden von Ihrem Lizenzvertrag abgedeckt. Weitere Informationen findest du unter GitHub Enterprise-Bedingungen für Kunden.

Häufigkeit von Dependabot-Pull Requests

Du gibst an, wie oft jedes Ökosystem auf neue Versionen in der Konfigurationsdatei überprüft werden soll: täglich, wöchentlich oder monatlich.

Beim ersten Aktivieren der Versionsaktualisierung sind möglicherweise viele Abhängigkeiten veraltet, und einige hinken der aktuellen Version um mehrere Versionen hinterher. Dependabot führt sofort nach der Aktivierung eine Überprüfung auf veraltete Abhängigkeiten durch. Abhängig davon, für wie viele Manifestdateien du Updates konfigurierst, werden dir möglicherweise schon wenige Minuten nach dem Hinzufügen der Konfigurationsdatei neue Pull Requests für Versionsaktualisierungen angezeigt. Dependabot führt auch bei späteren Änderungen an der Konfigurationsdatei eine Aktualisierung durch.

Damit die Pull Requests überschaubar bleiben und leicht überprüft werden können, löst Dependabot maximal fünf Pull Requests aus, um die Abhängigkeiten an die neueste Version anzupassen. Wenn einige der ersten Pull Requests vor der nächsten geplanten Aktualisierung gemergt werden, werden die verbleibenden Pull Requests beim nächsten Update geöffnet, bis zu diesem Höchstwert. Du kannst die maximale Anzahl offener Pull Requests ändern, indem du die open-pull-requests-limit-Konfigurationsoption festlegst.

Um die Anzahl von Pull Requests weiter zu verringern, kannst du mithilfe der Konfigurationsoption groups Abhängigkeiten (pro Paketökosystem) in Gruppen zusammenfassen. Dependabot löst dann einen einzigen Pull Request aus, um möglichst viele Abhängigkeiten in der Gruppe gleichzeitig auf die neuesten Versionen zu aktualisieren. Weitere Informationen findest du unter Optimieren der Erstellung von Pull Requests für Versionsupdates von Dependabot.

Wenn du Sicherheits-Updates aktiviert hast, werden manchmal zusätzliche Pull Requests für Sicherheits-Updates angezeigt. Diese werden durch eine Dependabot-Warnung zu einer Abhängigkeit von deinem Standardbranch ausgelöst. Dependabot löst automatisch eine Pull Request aus, um die anfällige Abhängigkeit zu aktualisieren.

Aufgrund einer Fehlkonfiguration oder einer inkompatiblen Version kann es vorkommen, dass eine Ausführung von Dependabot fehlschlägt. Nach 15 fehlerhaften Ausführungen überspringt Dependabot version updates nachfolgende geplante Ausführungen, bis du manuell eine Überprüfung auf Updates aus dem Abhängigkeitsdiagramm auslöst. Dependabot security updates wird weiterhin wie gewohnt ausgeführt.

Informationen zur automatischen Deaktivierung von Dependabot updates

Wenn die Maintainer eines Repositorys nicht mehr mit Pull Requests von Dependabot interagieren, hält Dependabot die Updates vorübergehend an und informiert dich. Weitere Informationen findest du unter Dependabot-Update für Pull Requests nicht mehr generiert.

Informationen zum Konfigurieren von Dependabot-Sicherheits-Updates

Du kannst deine Benachrichtigungen nach GitHub filtern, um Benachrichtigungen für Pull Requests anzuzeigen, die mit Dependabot erstellt wurden. Weitere Informationen finden Sie unter Benachrichtigungen über deinen Posteingang verwalten.