Skip to main content

此版本的 GitHub Enterprise Server 已于以下日期停止服务 2023-09-25. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

配置 Dependabot 安全更新

您可以使用 Dependabot security updates 或手动拉取请求轻松地更新有漏洞的依赖项。

注意:站点管理员必须先为 你的 GitHub Enterprise Server 实例设置 Dependabot updates,然后你才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。

关于配置 Dependabot security updates

您可以为任何使用 Dependabot alerts 和依赖关系图的仓库启用 Dependabot security updates。 有关详细信息,请参阅“关于 Dependabot 安全更新”。

可以为单个存储库或个人帐户或组织拥有的所有存储库启用或禁用 Dependabot security updates。 有关在组织中启用安全功能的详细信息,请参阅“保护你的组织”。

支持的存储库

如果个人帐户或组织已为 Dependabot security updates启用“自动为新存储库启用”,则 GitHub 会自动为新创建的存储库启用 Dependabot security updates。 有关详细信息,请参阅“管理存储库的 Dependabot security updates”。

如果创建启用了安全更新的存储库的分支,GitHub 将自动禁用该分支的 Dependabot security updates。 然后,你可以决定是否在特定分支上启用 Dependabot security updates。

如果未为存储库启用安全更新,并且您不知道原因么,请先尝试使用以下程序部分的说明启用它们。 如果安全更新还是不工作,您可以联系 你的站点管理员。

管理仓库的 Dependabot security updates

可以为个人帐户或组织拥有的所有合格的存储库启用或禁用 Dependabot security updates。 有关详细信息,请参阅“管理个人帐户的安全和分析设置”或“管理组织的安全和分析设置”。

也可以为单个存储库启用或禁用 Dependabot security updates。

对单个仓库启用或禁用 Dependabot security updates

  1. 在 你的 GitHub Enterprise Server 实例 上,导航到存储库的主页。
  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。 存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。
  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
  4. 在“代码安全和分析”下的“Dependabot 安全更新”的右侧,单击“启用”以启用该功能,或单击“禁用”予以禁用 。

使用配置文件重写默认行为

可以通过将 dependabot.yml 文件添加到存储库来重写 Dependabot security updates 的默认行为。 有关详细信息,请参阅“dependabot.yml 文件的配置选项”。

如果只需要安全更新并且想要排除版本更新,可以将 open-pull-requests-limit 设置为 0 以防止给定 package-ecosystem 的版本更新。 有关详细信息,请参阅“dependabot.yml 文件的配置选项”。

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example

注意:**** 为了方便 Dependabot 将此配置用于安全更新,directory 必须是清单文件的路径,并且不应指定 target-branch

有关可用于安全更新的配置选项的详细信息,请参阅“dependabot.yml 文件的配置选项”中的表。

延伸阅读