Сведения об Dependabot version updates для действий
Действия часто обновляются с помощью исправлений ошибок и новых компонентов, чтобы сделать автоматизированные процессы более надежными, быстрыми и безопасными. Если включить Dependabot version updates для GitHub Actions, Dependabot поможет убедиться, что ссылки на действия в файле workflow.yml репозитория__ и повторно используемых в рабочих процессах хранятся в актуальном состоянии.
Для каждого действия в файле Dependabot проверяет ссылку на действие (обычно номер версии или идентификатор фиксации, связанный с действием) на соответствие последней версии. Сведения о том, как создатели действий версии своих действий см. в разделе "Использование управления выпусками для пользовательских действий".
Если доступна более поздняя версия действия, Dependabot отправит запрос на вытягивание, который обновляет ссылку в файле рабочего процесса до последней версии. Дополнительные сведения о Dependabot version updatesсм. в разделе "Сведения об обновлениях версий Dependabot". Дополнительные сведения о настройке рабочих процессов для GitHub Actionsсм. в разделе "Изучение GitHub Actions".
Dependabot также проверка файлы рабочих процессов для использования повторно используемых рабочих процессов и обновляет ссылку на git для этих называемых повторно используемых рабочих процессов. Дополнительные сведения о повторно используемых рабочих процессах см. в разделе "Повторное использование рабочих процессов".
Примечание. Рабочий процесс запускается с помощью запросов на вытягивание Dependabot, как если бы они выполнялись из вилированного репозитория и поэтому используют только GITHUB_TOKENдля чтения. Этот рабочий процесс не может получить доступ к секретам. Сведения о стратегиях защиты этих рабочих процессов см. в разделе "Защита системы безопасности для GitHub Actions".
Включение Dependabot version updates для действий
Вы можете настроить Dependabot version updates для обслуживания своих действий, а также используемых библиотек и пакетов.
- Если вы уже включили Dependabot version updates для других экосистем или диспетчеров пакетов, просто откройте существующий
dependabot.ymlфайл. В противном случае создайтеdependabot.ymlфайл конфигурации в каталоге.githubрепозитория. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot. - Укажите
"github-actions"в качествеpackage-ecosystemдля отслеживания. - Задайте для
directoryзначение"/"для проверки наличия файлов рабочего процесса в.github/workflows. - Задайте
schedule.interval, чтобы указать периодичность проверки наличия новых версий. - Проверьте файл конфигурации dependabot.yml в каталоге
.githubрепозитория. Если вы изменили существующий файл, сохраните изменения.
Вы также можете включить Dependabot version updates для вилок. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.
Пример dependabot.yml файла для GitHub Actions
Приведенный ниже пример dependabot.yml файла настраивает обновления версий для GitHub Actions. Для directory должно быть задано значение "/" для проверки наличия файлов рабочего процесса в .github/workflows. Для schedule.interval задано значение "weekly". После того как этот файл будет возвращен или обновлен, Dependabot проверяет наличие новых версий действий. Dependabot выдаст запросы на вытягивание обновлений версий для любых устаревших действий, которые будут найдены. После обновления начальной версии Dependabot будет продолжать проверка для устаревших версий действий один раз в неделю.
# Set update schedule for GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every week
interval: "weekly"
Настройка Dependabot version updates для действий
При включении Dependabot version updates для действий необходимо указать значения для package-ecosystem, directory и schedule.interval. Существует множество дополнительных свойств, которые можно настроить для дальнейшей настройки обновлений версий. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.