关于操作的 Dependabot version updates
操作通常使用漏洞修复和新功能进行更新,以使自动化流程更可靠、更快速、更安全。 为 GitHub Actions 启用 Dependabot version updates 时,Dependabot 将帮助确保存储库 workflow.yml 文件中操作的引用保持最新。 对于文件中的每个操作,Dependabot 根据最新版本检查操作的引用(通常是与操作关联的版本号或提交标识符)。 如果操作有更新的版本,Dependabot 将向你发送拉取请求,要求将工作流程文件中的引用更新到最新版本。 有关 Dependabot version updates 的详细信息,请参阅关于 Dependabot version updates。 有关为 GitHub Actions 配置工作流程的更多信息,请参阅了解 GitHub Actions。
注意:Dependabot 拉取请求触发的工作流运行就像是来自存储库分支一样,因此使用只读 GITHUB_TOKEN
。 这些工作流程运行无法访问任何密钥。 有关确保这些工作流安全的策略,请参阅“确保 GitHub Actions 和工作流安全:阻止 pwn 请求”"。
为操作启用 Dependabot version updates
可配置 Dependabot version updates 来维护你的操作以及所依赖的库和包。
- 如果你已经为其他生态系统或包管理器启用 Dependabot version updates,只需打开现有的 dependabot.yml 文件。 否则,在存储库的
.github
目录中创建一个 dependabot.yml 配置文件。 有关详细信息,请参阅“配置 Dependabot 版本更新”。 - 指定
"github-actions"
为要监视的package-ecosystem
。 - 设置
directory
为"/"
,检查.github/workflows
中的工作流文件。 - 设置
schedule.interval
以指定检查新版本的频率。 - 将 dependabot.yml 配置文件签入存储库的
.github
目录中。 如果已编辑现有文件,请保存所做的更改。
您也可以在复刻上启用 Dependabot version updates。 有关详细信息,请参阅配置 Dependabot 版本更新。
例如用于 GitHub Actions 的 dependabot.yml 文件
下面的示例 dependabot.yml 文件配置 GitHub Actions 的版本更新。 directory
必须设置为 "/"
以检查 .github/workflows
中的工作流文件。 schedule.interval
设置为 "weekly"
。 在该文件被检入或更新后,Dependabot 将检查您的操作的新版本。 Dependabot 在发现任何过时的操作时,将会提出版本更新的拉取请求。 在初始版本更新后,Dependabot 将继续每周检查一次过时的操作版本。
# Set update schedule for GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every week
interval: "weekly"
为操作配置 Dependabot version updates
为操作启用 Dependabot version updates 时,必须指定 package-ecosystem
、directory
和 schedule.interval
的值。 您可以设置更多可选属性来进一步自定义版本更新。 有关详细信息,请参阅dependabot.yml 文件的配置选项。