Dependabot-Versionsaktualisierungen

Sie können Dependabot verwenden, um die von Ihnen verwendeten Pakete auf dem neuesten Stand zu halten.

Wer kann dieses Feature verwenden?

Dependabot version updates ist für die folgenden Repositorys verfügbar:

  • Alle Repositorys auf GitHub

In diesem Artikel

Informationen zum Dependabot version updates

Dependabot nimmt Ihnen den Aufwand für die Pflege Ihrer Abhängigkeiten ab. Mit dem Programm kannst du sicherstellen, dass dein Repository automatisch auf die neuesten Releases der Pakete und Anwendungen aktualisiert wird, von denen es abhängig ist.

Wenn Dependabot Pull Requests auslöst, können diese Pull Requests für Sicherheits- oder Versionsupdates gelten:

  • Dependabot security updates sind automatisierte Pull Requests, mit denen Du Abhängigkeiten mit bekannten Sicherheitsrisiken aktualisieren kannst.
  • Dependabot version updates sind automatisierte Pull Requests, mit denen Deine Abhängigkeiten auf dem aktuellen Stand gehalten werden, auch wenn sie keine Sicherheitsrisiken aufweisen. Um den Status von Versionsupdates zu überprüfen, navigiere zur Registerkarte Insights deines Repositorys, wähle dann das Abhängigkeitsdiagramm und anschließend Dependabot aus.

Sie aktivieren Dependabot version updates, indem Sie eine dependabot.yml-Konfigurationsdatei in Ihr Repository einchecken.

Dependabot und alle verwandten Funktionen werden von Ihrem Lizenzvertrag abgedeckt. Weitere Informationen findest du unter GitHub Enterprise-Bedingungen für Kunden.

Updates für Pakete

Die dependabot.yml Konfigurationsdatei gibt den Speicherort des Manifests oder anderer Paketdefinitionsdateien an, die in Ihrem Repository gespeichert sind. Dependabot verwendet diese Informationen, um nach veralteten Paketen und Anwendungen zu suchen. Dependabot bestimmt, ob eine neue Version einer Abhängigkeit vorhanden ist, indem sie sich die semantische Versionsverwaltung (Semver) der Abhängigkeit ansehen, um zu entscheiden, ob sie auf diese Version aktualisiert werden soll. Weitere Informationen zu den unterstützten Repositorys und Ökosysteme findest du unter Von Dependabot unterstützte Ökosysteme und Repositorys.

Die dependabot.yml-Datei kann auch so konfiguriert werden, dass sie Dependabot mitteilt, wie Ihre Abhängigkeiten verwaltet werden sollen. Weitere Informationen findest du unter Informationen zur dependabot.yml-Datei.

Für bestimmte Paketmanager Dependabot version updates unterstützt auch die Anbieterverwaltung. Gelieferte (oder zwischengespeicherte) Abhängigkeiten sind Abhängigkeiten, die in ein bestimmtes Verzeichnis in einem Repository eingecheckt werden, statt dass auf sie in einem Manifest verwiesen wird. Gelieferte Abhängigkeiten sind zur Build-Zeit verfügbar, auch wenn Paketserver nicht verfügbar sind. Dependabot version updates kann so konfiguriert werden, dass lieferantenseitige Abhängigkeiten für neue Versionen überprüft und bei Bedarf aktualisiert werden.

Wenn Dependabot eine veraltete Abhängigkeit identifiziert wird, löst sie eine Pullanforderung aus, um das Manifest auf die neueste Version der Abhängigkeit zu aktualisieren. Bei anbieterbezogenen Abhängigkeiten erstellt Dependabot direkt einen Pull Request, um die veraltete Abhängigkeit durch die neue Version zu ersetzen. du überprüfst, ob deine Tests übergeben werden, überprüfe die Änderungsprotokoll- und Release-Notizen, die in der Pull-Request-Zusammenfassung enthalten sind, und führe sie dann zusammen. Weitere Informationen findest du unter Konfigurieren von Dependabot-Versionsupdates.

Wenn Sie Sicherheitsupdates aktivieren, werden auch Pullanforderungen ausgelöst, Dependabot um anfällige Abhängigkeiten zu aktualisieren. Weitere Informationen findest du unter Dependabot-Sicherheitsupdates.

Updates für Aktionen

Aktionen werden häufig mit Fehlerkorrekturen und neuen Features aktualisiert, um automatisierte Prozesse zuverlässiger, schneller und sicherer zu machen. Wenn Sie Dependabot version updates für GitHub Actions aktivieren, trägt Dependabot dazu bei, sicherzustellen, dass Verweise auf Aktionen in der Datei workflow.yml eines Repositorys sowie auf wiederverwendbare Workflows, die innerhalb von Workflows verwendet werden, auf dem neuesten Stand bleiben.

Dependabot prüft für jede Aktion in der Datei die Referenz der Aktion (in der Regel eine Versionsnummer oder eine der Aktion zugeordnete Commit-Kennung) mit der neuesten Version ab. Wenn eine neuere Version der Aktion verfügbar ist, senden Sie eine Pullanforderung, Dependabot die den Verweis in der Workflowdatei auf die neueste Version aktualisiert.

Dependabot überprüft außerdem Workflowdateien für die Verwendung wiederverwendbarer Workflows und aktualisiert die Git-Referenz für diese sogenannten wiederverwendbaren Workflows.

Informationen zum Aktivieren dieses Features finden Sie unter Deine Aktionen mit Dependabot auf dem neuesten Stand halten.

Informationen zur automatischen Deaktivierung von Dependabot updates

Wenn die Maintainer eines Repositorys nicht mehr mit Pull Requests von Dependabot interagieren, hält Dependabot die Updates vorübergehend an und informiert dich. Weitere Informationen findest du unter Pull-Requests werden von Dependabot nicht mehr aktualisiert.

Informationen zu Benachrichtigungen für Dependabot Versionsupdates

Sie können Ihre Benachrichtigungen auf GitHub so filtern, dass Benachrichtigungen für von Dependabot erstellte Pull Requests angezeigt werden. Weitere Informationen findest du unter Benachrichtigungen über deinen Posteingang verwalten.