Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

配置 Dependabot 安全更新

您可以使用 Dependabot security updates 或手动拉取请求轻松地更新有漏洞的依赖项。

关于配置 Dependabot security updates

可以在存储库级别或为个人帐户或组织拥有的所有存储库启用 Dependabot security updates。 您可以为任何使用 Dependabot alerts 和依赖关系图的仓库启用 Dependabot security updates。 有关详细信息,请参阅“关于 Dependabot security updates”。

你可以对单个存储库或由你的个人帐户或组织拥有的所有存储库禁用 Dependabot security updates。

Dependabot 和所有相关功能均受许可协议约束。 有关详细信息,请参阅“GitHub 企业客户条款”。

支持的存储库

如果个人帐户或组织已为 Dependabot security updates启用“自动为新存储库启用”,则 GitHub 会自动为新创建的存储库启用 Dependabot security updates。 有关详细信息,请参阅“管理存储库的 Dependabot security updates”。

如果创建启用了安全更新的存储库的分支,GitHub 将自动禁用该分支的 Dependabot security updates。 然后,你可以决定是否在特定分支上启用 Dependabot security updates。

如果未为存储库启用安全更新,并且您不知道原因么,请先尝试使用以下程序部分的说明启用它们。 如果安全更新还是不工作,您可以联系 GitHub Support

管理仓库的 Dependabot security updates

可以为个人帐户或组织拥有的所有合格的存储库启用或禁用 Dependabot security updates。 有关详细信息,请参阅“管理个人帐户的安全和分析设置”或“管理组织的安全和分析设置”。

也可以为单个存储库启用或禁用 Dependabot security updates。

对单个仓库启用或禁用 Dependabot security updates

  1. 在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 “存储库设置”按钮

  2. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  3. 在“代码安全和分析”下的“Dependabot 安全更新”的右侧,单击“启用”以启用该功能,或单击“禁用”予以禁用 。 对于公共存储库,如果始终启用该功能,则该按钮将被禁用。 “代码安全和分析”部分的屏幕截图,其中包含用于启用 Dependabot security updates的按钮

使用配置文件重写默认行为

可以通过将 dependabot.yml 文件添加到存储库来重写 Dependabot security updates 的默认行为。 有关详细信息,请参阅“dependabot.yml 文件的配置选项”。

如果只需要安全更新并且想要排除版本更新,可以将 open-pull-requests-limit 设置为 0 以防止给定 package-ecosystem 的版本更新。 有关详细信息,请参阅“open-pull-requests-limit”。

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

有关可用于安全更新的配置选项的详细信息,请参阅“dependabot.yml 文件的配置选项”中的表格。

延伸阅读