Skip to main content

Эта версия GitHub Enterprise Server была прекращена 2024-09-25. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Сведения об обновлениях версий Dependabot

Вы можете использовать Dependabot, чтобы обновлять используемые пакеты до последних версий.

Кто может использовать эту функцию?

Dependabot version updates доступен для следующих репозиториев:

  • Все репозитории на GitHub Enterprise Server

Note

Администратор сайта должен настроить Dependabot updates для ваш экземпляр GitHub Enterprise Server, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

Возможно, вы не сможете включить или отключить Dependabot updates , если владелец предприятия установил политику на уровне предприятия. Дополнительные сведения см. в разделе Применение политик безопасности кода и анализа для вашего предприятия.

Сведения об Dependabot version updates

Dependabot берет на себя работу по поддержке ваших зависимостей. Используйте его, чтобы обеспечить автоматическую синхронизацию репозитория с последними выпусками пакетов и приложений, от которых он зависит.

Сведения о поддерживаемых репозиториях и экосистемах см. в разделе "Поддерживаемые экосистемы и репозитории Dependabot".

Вы включите Dependabot version updates путем dependabot.yml проверки файла конфигурации в репозитории. В файле конфигурации указывается расположение манифеста или других файлов определения пакета, хранящихся в репозитории. Dependabot использует эти сведения для проверки устаревших пакетов и приложений. Dependabot определяет наличие новой версии зависимости, анализируя семантическое версионирование (semver) зависимости, чтобы решить, нужно ли обновлять зависимость до этой версии. В некоторых диспетчерах пакетов Dependabot version updates также поддерживает поставщиков. Зависимости от поставщиков (или кэшированные зависимости) — это зависимости, которые записываются в определенный репозиторий вместо указания в манифесте. Зависимости от поставщиков доступны во время сборки, даже если серверы пакетов недоступны. Dependabot version updates можно настроить для проверки зависимостей от поставщиков на наличие новых версий и их обновления при необходимости.

Если Dependabot идентифицирует устаревшую зависимость, он создает запрос на вытягивание для обновления манифеста до последней версии зависимости. Для зависимостей от поставщиков Dependabot создает запрос на вытягивание, чтобы напрямую заменить устаревшую зависимость новой версией. Проверьте, что тесты пройдены, просмотрите журнал изменений и заметки о выпуске, включенные в сводку запроса на вытягивание, а затем объедините запрос на вытягивание. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.

При включении обновлений системы безопасности Dependabot также создает запросы на вытягивание для обновления уязвимых зависимостей. Дополнительные сведения см. в разделе Сведения об обновлениях для системы безопасности Dependabot.

Когда Dependabot вызывает запросы на вытягивание, такие запросы могут быть предназначены для обновлений безопасности или версий:

  • Dependabot security updates  — это автоматизированные запросы на вытягивание, позволяющие обновлять зависимости с известными уязвимостями.
  • Dependabot version updates  — это автоматизированные запросы на вытягивание, позволяющие поддерживать зависимости в актуальном состоянии, даже если у них нет уязвимостей. Чтобы проверить состояние обновлений версии, откройте вкладку "Аналитика" в репозитории, а затем "График зависимостей" и Dependabot.

Dependabot подписывает свои собственные фиксации по умолчанию, даже если подпись фиксации не является требованием для репозитория. Дополнительные сведения о проверенных фиксациях см. в разделе "Сведения о проверке подписи фиксации".

Прежде чем включить Dependabot updates, необходимо настроить ваш экземпляр GitHub Enterprise Server для использования GitHub Actions с локальными средствами выполнения. GitHub Actions требуется для Dependabot version updates и Dependabot security updates для выполнения в GitHub Enterprise Server. Дополнительные сведения см. в разделе "Включение Dependabot для предприятия".

Частота запросов на вытягивание Dependabot

Вы указываете частоту проверки каждой экосистемы на наличие новых версий в файле конфигурации: ежедневно, еженедельно или ежемесячно.

При первом включении обновлений версий может присутствовать много устаревших зависимостей, а некоторые из них могут быть устаревшими на много версий по сравнению с последней. Dependabot проверяет наличие устаревших зависимостей сразу после включения. Новые запросы на вытягивание обновлений версий могут отобразиться в течение нескольких минут после добавления файла конфигурации в зависимости от количества файлов манифеста, для которых настроены обновления. Dependabot также запустит обновление последующих изменений в файле конфигурации.

Dependabot также может создавать запросы на вытягивание при изменении файла манифеста после сбоя обновления. Это связано с тем, что изменения манифеста, такие как удаление зависимости, которая вызвала сбой обновления, может привести к успешному запуску обновления.

Для обеспечения управляемости запросов на вытягивание и упрощения их проверки Dependabot создает не более пяти запросов на вытягивание, чтобы приступить к обновлению зависимостей до последней версии. В случае слияния некоторых из этих первых запросов на вытягивание до следующего запланированного обновления оставшиеся запросы на вытягивание откроются в том же максимальном количестве при следующем обновлении. Вы можете изменить максимальное количество открытых запросов на вытягивание, задав параметр конфигурацииopen-pull-requests-limit.

Дополнительные сведения см. в разделе "Настройка обновлений зависимостей".

Если вы включили обновления для системы безопасности, иногда будут отображаться дополнительные запросы на вытягивание для этих обновлений. Они активируются оповещением Dependabot для зависимости в ветви по умолчанию. Dependabot автоматически создает запрос на вытягивание для обновления уязвимой зависимости.

О автоматической деактивации Dependabot updates

Dependabot также останавливает повторную настройку запросов на вытягивание обновлений версии и системы безопасности через 30 дней, уменьшая уведомления о неактивных запросах на вытягивание Dependabot.

Сведения об уведомлениях для обновлений версий Dependabot

Вы можете отфильтровать уведомления по GitHub для отображения уведомлений о запросах на вытягивание, созданных Dependabot. Дополнительные сведения см. в разделе Управление уведомлениями из папки "Входящие".