关于操作的 Dependabot version updates
操作通常使用漏洞修复和新功能进行更新,以使自动化流程更可靠、更快速、更安全。 为 GitHub Actions 启用 Dependabot version updates 时,Dependabot 将帮助确保对存储库 workflow.yml 文件中操作的引用和对工作流中使用的可重用工作流的引用保持最新。
对于文件中的每个操作,Dependabot 根据最新版本检查操作的引用(通常是与操作关联的版本号或提交标识符)。 有关操作创建者如何对其操作进行版本控制的信息,请参阅对自定义操作使用发布管理。
如果操作有更新的版本,Dependabot 将向你发送拉取请求,要求将工作流程文件中的引用更新到最新版本。 有关 Dependabot version updates 的详细信息,请参阅 关于 Dependabot 版本更新。 有关为 GitHub Actions 配置工作流的详细信息,请参阅 写入工作流。
Dependabot 还会检查工作流文件是否使用可重用工作流,并更新这些被调用的可重用工作流的 git 引用。 有关可重用工作流的详细信息,请参阅 重新使用工作流。
Note
Dependabot 拉取请求触发的工作流运行就像是来自存储库分支一样,因此使用只读 GITHUB_TOKEN
。 这些工作流程运行无法访问任何密钥。 有关确保这些工作流安全的策略的信息,请参阅“GitHub Actions 的安全强化”。
为操作启用 Dependabot version updates
可配置 Dependabot version updates 来维护你的操作以及所依赖的库和包。
- 如果你已经为其他生态系统或包管理器启用 Dependabot version updates,只需打开现有的
dependabot.yml
文件。 否则,在存储库的.github
目录中创建一个dependabot.yml
配置文件。 有关详细信息,请参阅“配置 Dependabot 版本更新”。 - 指定
"github-actions"
为要监视的package-ecosystem
。 - 设置
directory
为"/"
,检查.github/workflows
中的工作流文件。 - 设置
schedule.interval
以指定检查新版本的频率。 - 将 dependabot.yml 配置文件签入存储库的
.github
目录中。 如果已编辑现有文件,请保存所做的更改。
您也可以在复刻上启用 Dependabot version updates。 有关详细信息,请参阅“配置 Dependabot 版本更新”。
例如用于 GitHub Actions
的 dependabot.yml
文件
下面的示例 dependabot.yml
文件配置 GitHub Actions
的版本更新。 directory
必须设置为 "/"
以检查 .github/workflows
中的工作流文件。 schedule.interval
设置为 "weekly"
。 在该文件被检入或更新后,Dependabot 将检查您的操作的新版本。 Dependabot 在发现任何过时的操作时,将会提出版本更新的拉取请求。 在初始版本更新后,Dependabot 将继续每周检查一次过时的操作版本。
# Set update schedule for GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every week
interval: "weekly"
为操作配置 Dependabot version updates
为操作启用 Dependabot version updates 时,必须指定 package-ecosystem
、directory
和 schedule.interval
的值。 您可以设置更多可选属性来进一步自定义版本更新。 有关详细信息,请参阅“Dependabot options reference”。