注意:站点管理员必须先为 你的 GitHub Enterprise Server 实例设置 Dependabot updates,然后你才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。
关于配置 Dependabot security updates
可以在存储库级别或为个人帐户或组织拥有的所有存储库启用 Dependabot security updates。 您可以为任何使用 Dependabot alerts 和依赖关系图的仓库启用 Dependabot security updates。 有关详细信息,请参阅“关于 Dependabot security updates”。
你可以对单个存储库或由你的个人帐户或组织拥有的所有存储库禁用 Dependabot security updates。
支持的存储库
如果个人帐户或组织已为 Dependabot security updates启用“自动为新存储库启用”,则 GitHub 会自动为新创建的存储库启用 Dependabot security updates。 有关详细信息,请参阅“管理存储库的 Dependabot security updates”。
如果创建启用了安全更新的存储库的分支,GitHub 将自动禁用该分支的 Dependabot security updates。 然后,你可以决定是否在特定分支上启用 Dependabot security updates。
如果未为存储库启用安全更新,并且您不知道原因么,请先尝试使用以下程序部分的说明启用它们。 如果安全更新还是不工作,您可以联系 你的站点管理员。
管理仓库的 Dependabot security updates
可以为个人帐户或组织拥有的所有合格的存储库启用或禁用 Dependabot security updates。 有关详细信息,请参阅“管理个人帐户的安全和分析设置”或“管理组织的安全和分析设置”。
也可以为单个存储库启用或禁用 Dependabot security updates。
对单个仓库启用或禁用 Dependabot security updates
-
在 你的 GitHub Enterprise Server 实例 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全和分析”下的“Dependabot 安全更新”的右侧,单击“启用”以启用该功能,或单击“禁用”予以禁用 。
使用配置文件重写默认行为
可以通过将 dependabot.yml 文件添加到存储库来重写 Dependabot security updates 的默认行为。 有关详细信息,请参阅“dependabot.yml 文件的配置选项”。
如果只需要安全更新并且想要排除版本更新,可以将 open-pull-requests-limit 设置为 0 以防止给定 package-ecosystem 的版本更新。 有关详细信息,请参阅“open-pull-requests-limit”。
# Example configuration file that:
# - Ignores lodash dependency
# - Disables version-updates
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
ignore:
- dependency-name: "lodash"
# For Lodash, ignore all updates
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
有关可用于安全更新的配置选项的详细信息,请参阅“dependabot.yml 文件的配置选项”中的表格。