配置 Dependabot 安全更新

关于配置 Dependabot security updates

您可以为任何使用 Dependabot alerts 和依赖关系图的仓库启用 Dependabot security updates。 有关详细信息，请参阅“关于 Dependabot 安全更新”。

可以为单个存储库或个人帐户或组织拥有的所有存储库启用或禁用 Dependabot security updates。 有关在组织中启用安全功能的详细信息，请参阅“保护你的组织”。

Dependabot 和所有相关功能受 GitHub 服务条款约束。

支持的存储库

如果个人帐户或组织已为 Dependabot security updates启用“自动为新存储库启用”，则 GitHub 会自动为新创建的存储库启用 Dependabot security updates。 有关详细信息，请参阅“管理存储库的 Dependabot security updates”。

如果创建启用了安全更新的存储库的分支，GitHub 将自动禁用该分支的 Dependabot security updates。 然后，你可以决定是否在特定分支上启用 Dependabot security updates。

如果未为存储库启用安全更新，并且您不知道原因么，请先尝试使用以下程序部分的说明启用它们。 如果安全更新还是不工作，您可以联系 GitHub 支持。

管理仓库的 Dependabot security updates

可以为个人帐户或组织拥有的所有合格的存储库启用或禁用 Dependabot security updates。 有关详细信息，请参阅“管理个人帐户的安全和分析设置”或“管理组织的安全和分析设置”。

也可以为单个存储库启用或禁用 Dependabot security updates。

对单个仓库启用或禁用 Dependabot security updates

1. 在 GitHub.com 上，导航到存储库的主页。

2. 在存储库名称下，单击 “设置”。 如果看不到“设置”选项卡，请选择“”下拉菜单，然后单击“设置”********。

   

3. 在边栏的“安全性”部分中，单击“ 代码安全性和分析”。

4. 在“代码安全和分析”下的“Dependabot 安全更新”的右侧，单击“启用”以启用该功能，或单击“禁用”予以禁用 。 对于公共存储库，如果始终启用该功能，则该按钮将被禁用。

使用配置文件重写默认行为

可以通过将 dependabot.yml 文件添加到存储库来重写 Dependabot security updates 的默认行为。 有关详细信息，请参阅“dependabot.yml 文件的配置选项”。

如果只需要安全更新并且想要排除版本更新，可以将 open-pull-requests-limit 设置为 0 以防止给定 package-ecosystem 的版本更新。 有关详细信息，请参阅“dependabot.yml 文件的配置选项”。

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example

有关可用于安全更新的配置选项的详细信息，请参阅“dependabot.yml 文件的配置选项”中的表。

延伸阅读

• “关于 Dependabot 警报”
• “配置 Dependabot 警报”
• “关于依赖关系图”