关于配置 Dependabot security updates
您可以为任何使用 Dependabot alerts 和依赖关系图的仓库启用 Dependabot security updates。 有关详细信息,请参阅“关于 Dependabot 安全更新”。
可以为单个存储库或个人帐户或组织拥有的所有存储库启用或禁用 Dependabot security updates。 有关在组织中启用安全功能的详细信息,请参阅“保护你的组织”。
注意:为存储库启用 Dependabot security updates 时,Dependabot 将自动尝试打开拉取请求,以解决每个具有可用修补程序的打开的 Dependabot 警报。******** 如果希望自定义 Dependabot 为其打开拉取请求的警报,则应禁用 Dependabot security updates 并创建警报规则。**** 有关详细信息,请参阅“Customizing auto-triage rules to prioritize Dependabot alerts”。
Dependabot 和所有相关功能受 GitHub 服务条款约束。
支持的存储库
如果个人帐户或组织已为 Dependabot security updates启用“自动为新存储库启用”,则 GitHub 会自动为新创建的存储库启用 Dependabot security updates。 有关详细信息,请参阅“管理存储库的 Dependabot security updates”。
如果创建启用了安全更新的存储库的分支,GitHub 将自动禁用该分支的 Dependabot security updates。 然后,你可以决定是否在特定分支上启用 Dependabot security updates。
如果未为存储库启用安全更新,并且您不知道原因么,请先尝试使用以下程序部分的说明启用它们。 如果安全更新还是不工作,您可以联系 GitHub 支持。
管理仓库的 Dependabot security updates
可以为个人帐户或组织拥有的所有合格的存储库启用或禁用 Dependabot security updates。 有关详细信息,请参阅“管理个人帐户的安全和分析设置”或“管理组织的安全和分析设置”。
也可以为单个存储库启用或禁用 Dependabot security updates。
对单个仓库启用或禁用 Dependabot security updates
-
在 GitHub.com 上,导航到存储库的主页。
-
在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全和分析”下的“Dependabot 安全更新”的右侧,单击“启用”以启用该功能,或单击“禁用”予以禁用 。 对于公共存储库,如果始终启用该功能,则该按钮将被禁用。
使用配置文件重写默认行为
可以通过将 dependabot.yml
文件添加到存储库来重写 Dependabot security updates 的默认行为。 有关详细信息,请参阅“dependabot.yml 文件的配置选项”。
如果只需要安全更新并且想要排除版本更新,可以将 open-pull-requests-limit
设置为 0
以防止给定 package-ecosystem
的版本更新。 有关详细信息,请参阅“dependabot.yml 文件的配置选项”。
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
ignore:
- dependency-name: "lodash"
# For Lodash, ignore all updates
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
注意:**** 为了方便 Dependabot 将此配置用于安全更新,directory
必须是清单文件的路径,并且不应指定 target-branch
。
有关可用于安全更新的配置选项的详细信息,请参阅“dependabot.yml 文件的配置选项”中的表。