Skip to main content

使用 Dependabot 保持操作的最新状态

您可以使用 Dependabot 来确保您使用的操作更新到最新版本。

关于操作的 Dependabot version updates

操作通常使用漏洞修复和新功能进行更新,以使自动化流程更可靠、更快速、更安全。 为 GitHub Actions 启用 Dependabot version updates 时,Dependabot 将帮助确保存储库 workflow.yml 文件中操作的引用保持最新。 对于文件中的每个操作,Dependabot 根据最新版本检查操作的引用(通常是与操作关联的版本号或提交标识符)。 如果操作有更新的版本,Dependabot 将向你发送拉取请求,要求将工作流程文件中的引用更新到最新版本。 有关 Dependabot version updates 的详细信息,请参阅关于 Dependabot version updates。 有关为 GitHub Actions 配置工作流程的更多信息,请参阅了解 GitHub Actions

注意:Dependabot 拉取请求触发的工作流运行就像是来自存储库分支一样,因此使用只读 GITHUB_TOKEN。 这些工作流程运行无法访问任何密钥。 有关确保这些工作流安全的策略,请参阅“确保 GitHub Actions 和工作流安全:阻止 pwn 请求”"。

为操作启用 Dependabot version updates

可配置 Dependabot version updates 来维护你的操作以及所依赖的库和包。

  1. 如果你已经为其他生态系统或包管理器启用 Dependabot version updates,只需打开现有的 dependabot.yml 文件。 否则,在存储库的 .github 目录中创建一个 dependabot.yml 配置文件。 有关详细信息,请参阅“配置 Dependabot 版本更新”。
  2. 指定 "github-actions" 为要监视的 package-ecosystem
  3. 设置 directory"/",检查 .github/workflows 中的工作流文件。
  4. 设置 schedule.interval 以指定检查新版本的频率。
  5. 将 dependabot.yml 配置文件签入存储库的 .github 目录中。 如果已编辑现有文件,请保存所做的更改。

您也可以在复刻上启用 Dependabot version updates。 有关详细信息,请参阅配置 Dependabot 版本更新

例如用于 GitHub Actions 的 dependabot.yml 文件

下面的示例 dependabot.yml 文件配置 GitHub Actions 的版本更新。 directory 必须设置为 "/" 以检查 .github/workflows 中的工作流文件。 schedule.interval 设置为 "weekly"。 在该文件被检入或更新后,Dependabot 将检查您的操作的新版本。 Dependabot 在发现任何过时的操作时,将会提出版本更新的拉取请求。 在初始版本更新后,Dependabot 将继续每周检查一次过时的操作版本。

# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"

为操作配置 Dependabot version updates

为操作启用 Dependabot version updates 时,必须指定 package-ecosystemdirectoryschedule.interval 的值。 您可以设置更多可选属性来进一步自定义版本更新。 有关详细信息,请参阅dependabot.yml 文件的配置选项

延伸阅读