Referenz zu Dependabot-Optionen

Detaillierte Informationen für alle Optionen, die Sie verwenden können, um anzupassen, wie Dependabot Ihre Repositorys verwaltet werden.

Wer kann dieses Feature verwenden?

Users with write access

In diesem Artikel

Dieser Artikel enthält Referenzinformationen zu den in der dependabot.yml Datei verfügbaren Konfigurationsoptionen. Verwenden Sie diese Optionen, um anzupassen, wie Dependabot Paketökosysteme überwacht, Updates geplant und Pullanforderungen erstellt werden. Eine Übersicht über die dependabot.yml Datei und ihre Funktionsweise finden Sie unter Informationen zur dependabot.yml-Datei.

Alle Optionen, die mit einem Symbol gekennzeichnet sind, ändern auch, wie Dependabot Pull-Anforderungen für Sicherheitsupdates erstellt werden, es sei denn, target-branch verwendet wird.

Erforderliche Schlüssel

KeyStandortZweck
versionOberste Ebene
          Dependabot zu verwendende Konfigurationssyntax. Immer: `2`.|

| updates | Oberste Ebene| Abschnitt, in dem Sie die einzelnen zu aktualisierenden package-ecosystem-Elemente definieren.| | package-ecosystem | Unter updates | Definiert einen zu aktualisierenden Paket-Manager | | directories oder directory | Unter jedem package-ecosystem-Eintrag | Definieren Sie den Speicherort des Manifests oder anderer zu aktualisierender Definitionsdateien. | | schedule.interval | Unter jedem package-ecosystem-Eintrag | Definieren Sie, wo nach Versionsupdates gesucht werden soll: daily, weekly oder monthly. |

Optional können Sie auch einen registries-Schlüssel auf oberster Ebene einschließen, um Zugriffsdetails für private Registrierungen zu definieren. Weitere Informationen finden Sie unter -Schlüssel der obersten Ebeneregistries.

YAML

# Basic `dependabot.yml` file with
# minimum configuration for two package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"

Ein praxisnahes Beispiel für eine dependabot.yml-Datei finden Sie in der DependabotKonfigurationsdatei.

          `allow`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Verwenden Sie diese Option, um genau zu definieren, welche Abhängigkeiten für ein Paketökosystem verwaltet werden sollen. Sie wird häufig mit der Option ignore verwendet. Beispiele findest du unter Steuerung der Abhängigkeiten, die von Dependabot aktualisiert werden.

          Dependabot Standardverhalten:

* Alle in einem Manifest explizit definierten Abhängigkeiten werden von Versionsupdates auf dem neuesten Stand gehalten. * Alle abhängigkeiten, die in Sperrdateien mit anfälligen Abhängigkeiten definiert sind, werden durch Sicherheitsupdates aktualisiert.

Wenn allow angegeben wird, verwendet Dependabot den folgenden Prozess:

  1. Prüfen Sie, ob alle Abhängigkeiten explizit zugelassen sind.

  2. Filtern Sie dann alle ignorierten Abhängigkeiten oder Versionen heraus.

    Wenn eine Abhängigkeit einer allow- und einer ignore-Anweisung entspricht, wird sie ignoriert.

ParameterZweck
dependency-nameLassen Sie Updates für Abhängigkeiten mit übereinstimmenden Namen zu. Verwenden Sie optional * für die Übereinstimmung mit null oder mehr Zeichen.
dependency-typeLassen Sie Updates für Abhängigkeiten bestimmter Typen zu.
update-typesUpdates für eine oder mehrere semantische Versionsverwaltungsebenen zulassen. Unterstützte Werte: version-update:semver-patch, version-update:semver-minorund version-update:semver-major.

          `dependency-name` (`allow`)

Für die meisten Paket-Manager sollten Sie einen Wert definieren, der dem in der Sperr- oder Manifestdatei angegebenen Abhängigkeitsnamen entspricht. Manche Systeme haben komplexere Anforderungen.

Paket-ManagerErforderliches FormatExample
Gradle und MavengroupId:artifactIdorg.kohsuke:github-api
Docker für ImagetagsVollständiger Name des Repositorys.Verwenden Sie für ein Image-Tag von <account ID>.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc``base/foo/bar/ruby.

          `dependency-type` (`allow`)
AbhängigkeitstypenUnterstützt von Paket-ManagernZulassen von Updates
directAllAlle explizit definierten Abhängigkeiten.
indirect
          `bundler`, , `pip``composer`, `cargo`, , `gomod``uv` | Abhängigkeiten von direkten Abhängigkeiten (auch bekannt als Unterabhängigkeiten oder transitive Abhängigkeiten).|

| all | All | Alle explizit definierten Abhängigkeiten. Für bundler, pip, composer, cargo, gomod, uv und auch die Abhängigkeiten der direkten Abhängigkeiten.| | production | bundler composer, mix``maven, npm, pip, uv nicht alle Manager | Nur für Abhängigkeiten, die vom Paket-Manager als Produktionsabhängigkeiten definiert werden | | development| bundler composer, mix``maven, npm, pip, uv nicht alle Manager | Nur für Abhängigkeiten, die vom Paket-Manager als Entwicklungsabhängigkeiten definiert werden |

          `update-types` (`allow`)

          `update-types` betrifft nur _Versionsupdates_ , keine _Sicherheitsupdates_.

Geben Sie an, welche semantischen Versionen (SemVer) zulässig sind.

SemVer ist ein akzeptierter Standard zum Definieren von Versionen von Softwarepaketen in der Form x.y.z. Dependabot geht davon aus, dass Versionen in diesem Formular immer major.minor.patchsind. Der update-types Wert ist eine Liste mit einer oder mehreren Zeichenfolgen.

  • Verwenden Sie version-update:semver-patch, um Patchversionen zuzulassen.
  • Verwenden Sie version-update:semver-minor, um Nebenversionen zuzulassen.
  • Verwenden Sie version-update:semver-major, um Hauptversionen zuzulassen.

Wenn update-types aus einer allow Regel weggelassen wird, sind alle Aktualisierungstypen für diese Regel zulässig.

Sie können update-types mit dependency-name oder dependency-type kombinieren, um die erlaubten Updates weiter zu verengen. Beispiele für die Kombination dieser Optionen finden Sie unter Steuerung der Abhängigkeiten, die von Dependabot aktualisiert werden.

          `assignees`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Geben Sie einzelne zugewiesene Personen für alle Pull Requests an, die für ein Paket-Ökosystem ausgelöst wurden. Beispiele findest du unter Anpassen von Dependabot-Pull-Requests an deine Prozesse.

          Dependabot Standardverhalten:
  • Pull Requests werden ohne zugewiesene Personen erstellt.

Wenn assignees definiert ist:

  •         <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg> Alle Pullanforderungen für Versionsupdates werden mit den ausgewählten Zugewiesenen erstellt.

  •         <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield-check" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Alle Pull-Anfragen für Sicherheitsupdates werden mit den zugewiesenen Bearbeitern erstellt, es sei denn, `target-branch` definiert Updates für einen nicht standardmäßigen Branch.

Zugewiesene Personen müssen Schreibzugriff auf das Repository haben. Für Repositorys im Besitz der Organisation sind auch Organisationsmitglieder mit Lesezugriff gültige zugewiesene Personen.

          `commit-message`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Definieren Sie das Format für Commit-Nachrichten. Da die Titel von Pull Requests auf Commit-Nachrichten basieren, wirkt sich diese Einstellung auch auf die Titel von Pull Requests aus. Beispiele findest du unter Anpassen von Dependabot-Pull-Requests an deine Prozesse.

          Dependabot Standardverhalten:
  • Commit-Nachrichten folgen ähnlichen Mustern wie den im Repository erkannten.

Wenn commit-message definiert ist:

  •         <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg> Alle Commitnachrichten folgen dem definierten Muster.

  •         <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield-check" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Alle Commitnachrichten folgen dem definierten Muster, außer wenn `target-branch` Updates für eine nicht standardmäßige Verzweigung definiert werden.
ParameterZweck
prefixDefiniert ein Präfix für alle Commit-Nachrichten und Pull-Request-Titel
prefix-developmentBei unterstützten Systemen wird ein anderes Präfix definiert, das für Commits verwendet werden soll, die Abhängigkeiten in der Entwicklungsabhängigkeitsgruppe aktualisieren.
includeGib nach dem Commitnachrichtenpräfix zusätzliche Informationen an.

Tipp

Wenn Pull Requests für gruppierte Updates ausgelöst werden, werden der Verzweigungsname und der Pull Request-Titel von der Gruppe IDENTIFIER definiert, vgl. groups.

prefix

  • Wird für alle Commitnachrichten verwendet, es sei denn, prefix-development ist ebenfalls definiert.
  • Der Wert kann bis zu 50 Zeichen umfassen.
  •         Dependabot fügt einen Doppelpunkt hinter dem Präfix ein, bevor die Haupt-Commit-Nachricht hinzugefügt wird, wenn der Wert mit einem Buchstaben, einer Zahl, einer schließenden Klammer oder einer schließenden eckigen Klammer endet.
  • Beenden Sie den Wert mit einem Leerzeichen, um zu verhindern, dass ein Doppelpunkt hinzugefügt wird.

prefix-development

Unterstützt von: bundler, composer, mix, maven, npm, pip und uv.

  • Wird nur für Commit-Nachrichten verwendet, die Abhängigkeiten in der Entwicklungsabhängigkeitsgruppe aktualisieren
  • Andernfalls verhält sich der Parameter genau wie der prefix-Parameter.

include

  • Unterstützt nur den Wert scope
  • Beim Definieren eines Präfixes folgt der Typ der Abhängigkeiten, die im Commit aktualisiert werden: deps oder deps-dev.

          `cooldown`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Definiert einen Abkühlzeitraum für Abhängigkeitsupdates, sodass Updates für eine konfigurierbare Anzahl von Tagen verzögert werden können. Die cooldown Option ist nur für Versionsupdates verfügbar, nicht für Sicherheitsupdates .

Mit diesem Feature können Benutzer anpassen, wie oft Dependabot neue Versionsupdates generiert werden, was eine bessere Kontrolle über die Aktualisierungshäufigkeit bietet. Beispiele findest du unter Optimieren der Erstellung von Pull Requests für Versionsupdates von Dependabot.

          Dependabot Standardverhalten:
  • Suche entsprechend dem über schedule.interval definierten Zeitplan nach Updates.
  • Berücksichtige alle neuen Versionen sofort für Updates.

Wenn cooldown definiert ist:

  1.        Dependabot sucht nach Updates gemäß den definierten `schedule.interval` Einstellungen.

  2.        Dependabot überprüft alle Abkühlungseinstellungen.
  3. Wenn die neue Version einer Abhängigkeit innerhalb des Abkühlungszeitraums liegt, Dependabot überspringt die Aktualisierung der Version für diese Abhängigkeit.
  4. Abhängigkeiten ohne Abkühlzeitraum oder Abhängigkeiten, die nach dem Abkühlzeitraum liegen, werden gemäß der konfigurierten versioning-strategy-Einstellung auf die aktuelle Version aktualisiert.
  5. Nachdem ein Abkühlzeitraum für eine Abhängigkeit beendet ist, wird Dependabot die Aktualisierung der Abhängigkeit gemäß der standardmäßigen Updatestrategie, die in dependabot.yml definiert ist, fortgesetzt.

          **Konfiguration von `cooldown`**

Du kannst die Dauer der Abkühlung mithilfe der folgenden Optionen angeben.

ParameterDescription
default-days
          **Standardmäßiger Abkühlzeitraum für Abhängigkeiten** ohne bestimmte Regeln (optional) |

| semver-major-days | Abkühlzeitraum für Hauptversionsupdates (optional, gilt nur für Paket-Manager, die SemVer unterstützen) | | semver-minor-days | Abkühlzeitraum für Nebenversionsupdates (optional, gilt nur für Paket-Manager, die SemVer unterstützen) | | semver-patch-days | Abkühlzeitraum für Patchversionsupdates (optional, gilt nur für Paket-Manager, die SemVer unterstützen) | | include | Liste der Abhängigkeiten, für die ein Abkühlzeitraum angewendet werden soll (bis zu 150 Elemente). Unterstützt Platzhalter (*). | | exclude | Liste der Abhängigkeiten, die aus dem Abkühlzeitraum ausgeschlossen werden sollen (bis zu 150 Elemente). Unterstützt Platzhalter (*). |

Die folgende Tabelle enthält die Paket-Manager, für die SemVer unterstützt wird:

Paket-ManagerUnterstützung von SemVer
Bazel
Bundler
Bun
Fracht
Composer
Devcontainers
Docker
Docker Compose
Dotnet SDK
Elm
GitHub Actions
Gitsubmodule
Gomod (Go-Module)
Gradle
Helm
Hexadezimal (Hex)
Julia
Maven
NPM und Yarn
NuGet
OpenTofu
pip
Pub
Swift
Terraform
UV

Hinweis

  • Wenn semver-major-days, semver-minor-days oder semver-patch-days nicht definiert sind, haben die default-days-Einstellungen Vorrang für Updates, die auf der Abkühlung basieren.
  • Die Liste exclude hat immer Vorrang vor der Liste include. Wenn eine Abhängigkeit in beiden Listen angegeben ist, wird sie aus der Abkühlung ausgeschlossen und sofort aktualisiert.

          `directories` oder `directory`<svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg><svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

          **Erforderliche Option**: Verwenden Sie dies, um den Speicherort der Paketmanifeste für jeden Paket-Manager zu definieren (z. B. _package.json_ oder _Gemfile_). Ohne diese Informationen Dependabot können keine Pullanforderungen für Versionsupdates erstellt werden. Beispiele findest du unter [Definieren mehrerer Speicherorte für Manifestdateien](/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-multiple-locations-for-manifest-files).

  • Verwende directory, um ein einzelnes Manifestverzeichnis zu definieren.

  • Verwende directories, um eine Liste mehrerer Manifestverzeichnisse zu definieren.

  • Definiere Verzeichnisse relativ zum Stamm des Repositorys für die meisten Paket-Manager.

  • Verwenden Sie für GitHub Actions den Wert /. Dependabot durchsucht das /.github/workflows Verzeichnis sowie die action.yml/action.yaml Datei aus dem Stammverzeichnis.

Wenn du mehr als einen Block in der Konfigurationsdatei verwenden musst, um Updates für einen einzelnen Zielbranch eines Ökosystems zu definieren, musst du sicherstellen, dass alle Werte eindeutig sind und keine Überlappung in Verzeichnissen definiert ist.

Hinweis

Der Schlüssel directories unterstützt die Verwendung von Platzhaltern und das Platzhalterzeichen *. Diese Features werden vom Schlüssel directory nicht unterstützt.

          `enable-beta-ecosystems`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Derzeit nicht verwendet.

          `groups`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Definiere Regeln, um eine oder mehrere Gruppen von Abhängigkeiten zu erstellen, die von einem Paket-Manager verwaltet werden, um Updates in weniger und gezielten Pull Requests zu gruppieren. Beispiele findest du unter Optimieren der Erstellung von Pull Requests für Versionsupdates von Dependabot.

          Dependabot Standardverhalten:
  • Öffne einen einzelnen Pull Request für jede Abhängigkeit, die auf eine neuere Version für Versionsupdates aktualisiert werden muss, und für Sicherheitsupdates.

Wenn groups zum Definieren von Regeln verwendet wird:

  • Alle Updates für Abhängigkeiten, die einer Regel entsprechen, werden in einem einzelnen Pull Request kombiniert.
  • Wenn eine Abhängigkeit mit mehr als einer Regel übereinstimmt, ist sie in der ersten Gruppe enthalten, der sie entspricht.
  • Alle veralteten Abhängigkeiten, die keiner Regel entsprechen, werden in einzelnen Pull Requests aktualisiert.
ParameterZweck
IDENTIFIERDefinieren Sie einen Bezeichner für die Gruppe, die in Verzweigungsnamen und Pull-Request-Titeln verwendet werden soll. Dieser muss mit einem Buchstaben beginnen und enden und kann Buchstaben, Pipes |, Unterstriche _ oder Bindestriche - enthalten.
applies-toGib an, für welchen Updatetyp die Gruppe gilt. Wenn nichts definiert ist, werden standardmäßig Versionsupdates verwendet. Unterstützte Werte: version-updates oder security-updates
dependency-typeBeschränke die Gruppe auf einen Typ. Unterstützte Werte: development oder production
exclude-patternsDefinieren Sie ein oder mehrere Muster, um Abhängigkeiten aus der Gruppe auszuschließen.
group-byGruppieren Sie Updates in mehreren Verzeichnissen. Unterstützter Wert: dependency-name.
patternsDefinieren Sie mindestens ein Muster, um Abhängigkeiten mit übereinstimmenden Namen einzuschließen.
update-typesBeschränken Sie die Gruppe auf eine oder mehrere Ebenen für die semantische Versionierung. Unterstützte Werte: minor, patchund major.

          `dependency-type` (`groups`)

Unterstützt von: bundler, composer, mix, maven, npm und pip.

Standardmäßig enthält eine Gruppe alle Arten von Abhängigkeiten.

  • Verwende development, um nur Abhängigkeiten in die „Entwicklungsabhängigkeitsgruppe“ einzuschließen.
  • Verwende production, um nur Abhängigkeiten in die „Produktionsabhängigkeitsgruppe“ einzuschließen.

          `group-by` (`groups`)

Verwenden Sie groups.<group-name>.group-by, um festzulegen, wie Dependabot Aktualisierungen über mehrere Verzeichnisse in einem Monorepo gruppiert werden sollen.

  •         **Typ:** Zeichenfolge

  •         **Akzeptierte Werte:**`dependency-name`

  •         **Gilt für:** Konfigurationen mit mehreren angegebenen Verzeichnissen

Bei Festlegung auf dependency-name, Dependabot erstellt eine einzelne Pullanforderung für jede Abhängigkeitsaktualisierung in allen angegebenen Verzeichnissen, anstatt separate Pullanforderungen pro Verzeichnis.

          **Einschränkungen der verzeichnisübergreifenden Gruppierung**

Folgendes ist bei Verwendung von group-by: dependency-name zu beachten:

  • Alle Verzeichnisse müssen dasselbe Paketökosystem verwenden (z. B. alle npm oder alle bundler)
  • Gilt nur für Versionsupdates
  • Wenn Verzeichnisse über inkompatible Versionsbeschränkungen für eine Abhängigkeit verfügen, Dependabot wird separate Pullanforderungen erstellen.

Beispiele für die Verwendung von group-by finden Sie unter Optimieren der Erstellung von Pull Requests für Versionsupdates von Dependabot.

          `patterns` und `exclude-patterns` (`groups`)

Beide Optionen unterstützen die Verwendung von * als Platzhalter zum Definieren von Übereinstimmungen mit Abhängigkeitsnamen. Wenn eine Abhängigkeit sowohl mit einem Muster als auch mit einem Ausschlussmuster übereinstimmt, wird sie aus der Gruppe ausgeschlossen.

          `update-types` (`groups`)

Standardmäßig enthält eine Gruppe Updates für alle semantischen Versionen (SemVer). SemVer ist ein akzeptierter Standard zum Definieren von Versionen von Softwarepaketen in der Form x.y.z. Dependabot geht davon aus, dass Versionen immer im Format major.minor.patch vorliegen.

  • Verwende patch, um Patchversionen einzuschließen.
  • Verwende minor, um Nebenversionen einzuschließen.
  • Verwende major, um Hauptversionen einzuschließen.

Beispiele findest du unter Steuerung der Abhängigkeiten, die von Dependabot aktualisiert werden.

          `ignore`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Verwenden Sie dies mit der Option allow, um genau zu definieren, welche Abhängigkeiten für ein Paketökosystem verwaltet werden sollen. Dependabot sucht nach allen zulässigen Abhängigkeiten und filtert dann alle ignorierten Abhängigkeiten oder Versionen heraus. Eine Abhängigkeit, die sowohl mit einer „Allow“-, als auch mit einer „Ignore“-Anweisung übereinstimmt, wird ignoriert. Beispiele findest du unter Steuerung der Abhängigkeiten, die von Dependabot aktualisiert werden.

          Dependabot Standardverhalten:

* Alle in einem Manifest explizit definierten Abhängigkeiten werden von Versionsupdates auf dem neuesten Stand gehalten. * Alle abhängigkeiten, die in Sperrdateien mit anfälligen Abhängigkeiten definiert sind, werden durch Sicherheitsupdates aktualisiert.

Wenn ignore verwendet wird, wird der folgende Prozess verwendet Dependabot :

  1. Prüfen Sie, ob alle Abhängigkeiten explizit zugelassen sind.

  2. Filtern Sie dann alle ignorierten Abhängigkeiten oder Versionen heraus.

    Wenn eine Abhängigkeit einer allow- und einer ignore-Anweisung entspricht, wird sie ignoriert.

ParameterZweck
dependency-nameIgnorieren Sie Updates für Abhängigkeiten mit übereinstimmenden Namen. Verwenden Sie optional * für die Übereinstimmung mit null oder mehr Zeichen.
versionsIgnorieren Sie bestimmte Versionen oder Bereiche von Versionen.
update-typesIgnorieren Sie Updates auf einer oder mehreren Ebenen der semantischen Versionierung. Unterstützte Werte: version-update:semver-patch, version-update:semver-minorund version-update:semver-major.

          `dependency-name` (`ignore`)

Für die meisten Paket-Manager sollten Sie einen Wert definieren, der dem in der Sperr- oder Manifestdatei angegebenen Abhängigkeitsnamen entspricht. Manche Systeme haben komplexere Anforderungen.

Paket-ManagerErforderliches FormatExample
Gradle und MavengroupId:artifactIdorg.kohsuke:github-api
Docker für ImagetagsVollständiger Name des Repositorys.Verwenden Sie für ein Image-Tag von <account ID>.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc``base/foo/bar/ruby.

          `versions` (`ignore`)

Verwende diese Option, um bestimmte Versionen oder Bereiche von Versionen zu ignorieren. Wenn du einen Bereich definieren möchtest, verwende das Standardmuster für den Paket-Manager. Beispiel:

  • npm: ^1.0.0 verwenden
  • Bundler: ~> 2.0 verwenden
  • Docker: Verwenden der Bundler-Versionssyntax
  • NuGet: 7.* verwenden
  • Maven: [1.4,) verwenden

Beispiele findest du unter Steuerung der Abhängigkeiten, die von Dependabot aktualisiert werden.

          `update-types` (`ignore`)

Geben Sie an, welche semantischen Versionen (SemVer) ignoriert werden sollen. SemVer ist ein akzeptierter Standard zum Definieren von Versionen von Softwarepaketen in der Form x.y.z. Dependabot geht davon aus, dass Versionen in diesem Formular immer major.minor.patchsind.

  • Verwende version-update:semver-patch, um Patchversionen einzuschließen.
  • Verwende version-update:semver-minor, um Nebenversionen einzuschließen.
  • Verwende version-update:semver-major, um Hauptversionen einzuschließen.

          `insecure-external-code-execution`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Unterstützt von: bundler, mix und pip.

Zulassen, dass Dependabot während Updates externer Code im Manifest ausgeführt wird. Beispiele finden Sie unter Zulassen der Ausführung externen Codes.

          Dependabot Standardverhalten:
  • Wenn Sie Zugriff auf eine oder mehrere Registrierungen gewähren Dependabot , wird die Ausführung externer Code automatisch deaktiviert, um Ihren Code vor kompromittierten Paketen zu schützen.
  • Versionsupdates können ohne die Möglichkeit zum Ausführen von Code fehlschlagen.

Wenn Sie insecure-external-code-execution zulassen:

  •         Dependabot führt Code im Manifest als Teil des Versionsaktualisierungsprozesses aus.
  • Der Code hat nur Zugriff auf die Paket-Manager in den Registrierungen, die dieser updates-Einstellung zugeordnet sind. Es ist kein Zugriff auf die Registrierungen zulässig, die in der registries-Konfiguration der obersten Ebene definiert sind.
  • Dadurch sollte das Update erfolgreich sein, aber einem kompromittierten Paket könnte es möglich sein, Anmeldeinformationen zu stehlen oder Zugriff auf konfigurierte Registrierungen zu erhalten.

Unterstützter Wert: allow.

          `labels`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Geben Sie eigene Bezeichnungen für alle Pull Requests an, die für einen Paket-Manager ausgelöst werden. Beispiele findest du unter Anpassen von Dependabot-Pull-Requests an deine Prozesse.

          Dependabot Standardverhalten:
  • Alle Pull Requests weisen eine dependencies-Bezeichnung auf.
  • Wenn Sie mehrere Paket-Manager definieren, wird jedem Pull Request eine zusätzliche Bezeichnung für das Ökosystem oder die Sprache hinzugefügt. Beispiel: java für Gradle-Updates und submodules für Git-Untermodul-Updates.
  • Wenn semVer-Bezeichnungen (Semantikversion) im Repository vorhanden sind, werden sie automatisch angewendet, um den Typ des Versionsupdates (major, minoroder patch) anzugeben.
  •         Dependabot erstellt diese Standardbezeichnungen bei Bedarf automatisch in Ihrem Repository.

Wenn labels definiert ist:

  • Die angegebenen Bezeichnungen werden anstelle der Standardbezeichnungen verwendet.
  • SemVer-Bezeichnungen (sofern im Repository vorhanden) werden weiterhin zusätzlich zu benutzerdefinierten Bezeichnungen angewendet.
  • Wenn eine dieser Bezeichnungen im Repository nicht definiert ist, wird sie ignoriert.
  • Sie können mit labels: [ ] alle Bezeichnungen, einschließlich der Standard-Bezeichnungen, deaktivieren.

Das Festlegen dieser Option wirkt sich auch auf Pull Requests für Sicherheitsupdates für die Manifestdateien dieses Paket-Managers aus, es sei denn, du verwendest target-branch, um nach Versionsupdates auf einer nicht standardmäßigen Verzweigung zu suchen.

          `milestone`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Ordnen Sie alle Pull Requests zu, die für einen Paket-Manager mit einem Meilenstein ausgelöst wurden. Beispiele findest du unter Anpassen von Dependabot-Pull-Requests an deine Prozesse.

          Dependabot Standardverhalten:
  • Es werden keine Meilensteine verwendet.

Wenn milestone definiert ist:

  • Alle Pull Requests für den Paket-Manager werden dem Meilenstein hinzugefügt.

Unterstützter Wert: der numerische Bezeichner eines Meilensteins.

Tipp

Wenn du einen Meilenstein anzeigst, ist der letzte Teil der Seiten-URL nach milestone der Bezeichner. Beispiel: https://github.com/<org>/<repo>/milestone/3, siehe Anzeigen des Fortschritts deines Meilensteins.

          `multi-ecosystem-groups`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Definieren Sie Gruppen, die mehrere Paketökosysteme umfassen, um eine einzelne Dependabot Pull-Anforderung zu erhalten, die alle unterstützten Paketökosysteme aktualisiert. Dieser Ansatz trägt dazu bei, die Anzahl der Dependabot Pullanforderungen zu reduzieren, die Sie erhalten, und optimiert Den Workflow für Abhängigkeitsaktualisierungen.

          Dependabot Standardverhalten:
  • Erstelle separate Pull Requests für jedes Paketökosystem mit Abhängigkeitsupdates.

Wenn multi-ecosystem-groups verwendet wird:

  • Updates für mehrere Paketökosysteme in derselben Gruppe werden in einem einzigen Pull Request kombiniert.
  • Gruppen verfügen über eigene Zeitpläne und können einzelne Ökosystemeinstellungen erben oder überschreiben.

multi-ecosystem-group

Weise mithilfe des Parameters multi-ecosystem-group in der updates-Konfiguration einzelne Paketökosysteme einer Gruppe mit mehreren Ökosystemen zu.

Wichtig

Updates für mehrere Ökosystemen erfordern bestimmte Konfigurationsmuster und weisen ein eindeutiges Zusammenführungsverhalten für Parameter auf. Vollständige Einrichtungsanweisungen, Konfigurationsbeispiele und eine ausführliche Parameterreferenz findest du unter Konfigurieren von Updates für mehrere Ökosysteme für Dependabot.

YAML
# Basic `dependabot.yml` file defining a multi-ecosystem-group
version: 2

multi-ecosystem-groups:
  infrastructure:
    schedule:
      interval: "weekly"

updates:
  - package-ecosystem: "docker"
    directory: "/"
    patterns: ["nginx", "redis"]
    multi-ecosystem-group: "infrastructure"

  - package-ecosystem: "terraform"
    directory: "/"
    patterns: ["aws"]
    multi-ecosystem-group: "infrastructure"


          `open-pull-requests-limit`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Ändern Sie den Grenzwert für die maximale Anzahl an Pull Requests für Versionsupdates, die gleichzeitig geöffnet sein können.

          Dependabot Standardverhalten:
  • Wenn fünf Pull Requests mit Versionsupdates geöffnet sind, werden keine weiteren Pull Requests ausgelöst, bis einige dieser offenen Pull Requests zusammengeführt oder geschlossen werden.
  • Sicherheitsupdates haben einen separaten internen Grenzwert von zehn geöffneten Pull Requests, der nicht geändert werden kann.

Wenn open-pull-requests-limit definiert ist:

  •         Dependabot öffnet Pullanforderungen bis zum definierten ganzzahligen Wert. Ein großer Wert kann festgelegt werden, um das Limit der offenen Pullanforderung effektiv zu entfernen.
  • Sie können Versionsupdates für einen Paket-Manager vorübergehend deaktivieren, indem Sie diese Option auf Null festlegen, siehe Deaktivieren Dependabot version updates.

          `package-ecosystem`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
        

          **Erforderliche Option.** Definieren Sie ein `package-ecosystem` Element für jeden Paket-Manager, den Sie für neue Versionen überwachen möchten Dependabot . Das Repository muss auch ein Abhängigkeitsmanifest oder eine Sperrdatei für jeden dieser Paket-Manager enthalten, vgl. die [Beispiel `dependabot.yml` Datei](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-dependabotyml-file).
Paket-ManagerYAML-WertUnterstützte Versionen
Bazelbazelv7, v8, v9
Bunbun>=v1.2.5
Bundlerbundler
          v2 |

| Fracht | cargo | v1 | | Composer | composer | v2 | | | | Conda | conda | Nicht anwendbar | | | | Dev-Container | devcontainers | Nicht anwendbar | | Docker | docker | v1 | | | | Docker Compose | docker-compose | v2, v3 | | | | | | .NET SDK | dotnet-sdk | >=.NET Core 3.1 | | | | | | Helm-Diagramme | helm | v3 | | | | Hexe | mix | v1 | | | | Julia | julia | >=v1.10 | | | | elm-package | elm | v0.19 | | Git-Submodul | gitsubmodule | Nicht anwendbar | | GitHub Actions | github-actions | Nicht anwendbar | | Go-Module | gomod | v1 | | Gradle | gradle | Nicht anwendbar | | Maven | maven | Nicht anwendbar | | | | Nix Flakes | nix | Nicht anwendbar | | | | npm | npm | v7, v8, v9, v10 | | NuGet | nuget | <=6.12.0 | | | | OpenTofu | opentofu | Nicht anwendbar | | | | pip| pip | v24.2 | | pip-compile | pip | 7.4.1 | | pipenv | pip | <= 2024.4.1 | | pnpm | npm | v7, v8
v9, v10 (nur Versionsupdates) | | Poetry | pip | v2 | | | | pre-commit | pre-commit | Nicht anwendbar | | | | pub | pub | v2 | | | | Rust-Toolkette | rust-toolchain | Nicht anwendbar | | | | Swift | swift | v5 | | Terraform | terraform | >= 0,13, <= 1.10.x | | | | uv | uv | v0 | | | | | | vcpkg | vcpkg | Nicht anwendbar | | | | yarn | npm | v1, v2, v3, v4 |

          `pull-request-branch-name.separator`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Geben Sie ein Trennzeichen an, das beim Generieren von Verzweigungsnamen verwendet werden soll. Beispiele findest du unter Anpassen von Dependabot-Pull-Requests an deine Prozesse.

          Dependabot Standardverhalten:
  • Generieren Sie Verzweigungsnamen im folgenden Format: dependabot/PACKAGE_MANAGER/DEPENDENCY

Wenn pull-request-branch-name.separator definiert ist:

  • Verwenden Sie anstelle von / das angegebene Zeichen.

Unterstützte Werte: "-", _, /

Tipp

Das Bindestrichsymbol muss mit Escapezeichen versehen sein, damit es nicht als Start einer leeren YAML-Liste interpretiert wird.

          `rebase-strategy`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Deaktivieren Sie die automatische Neubasierung von Pullanforderungen, die von Dependabot gestellt wurden.

          Dependabot Das Standardverhalten besteht darin, geöffnete Pullanforderungen neu zu berechnen, wenn Dependabot Änderungen an einer Version oder einer Pullanforderung für Sicherheitsupdates erkannt werden. 
          Dependabot sucht nach Änderungen, wenn:
  • Ihr Zeitplan wird ausgeführt, um nach Versionsupdates zu suchen
  • Sie öffnen eine geschlossene Pullanforderung erneut Dependabot .
  • Sie ändern den Wert target-branch in der Dependabot Konfigurationsdatei, siehe target-branch.
  • Eine Dependabot Pull-Request steht nach einem kürzlichen Push an den Ziel-Branch in Konflikt.

Wenn rebase-strategy auf disabled gesetzt wird, stoppt Dependabot das Rebasing von Pull-Anfragen.

Hinweis

Für Pull Requests, die geöffnet waren, bevor Sie Rebasing deaktiviert haben, wird weiterhin bis zu 30 Tage nach dem Öffnen ein Rebasing durchgeführt. Dies wirkt sich auf alle Pull Requests aus, die mit der Zielverzweigung in Konflikt stehen, sowie auf alle Pull Requests für Versionsupdates.

          `registries`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Konfigurieren Sie den Zugriff auf private Paketregistrierungen, um Dependabot eine größere Palette von Abhängigkeiten zu aktualisieren, siehe Konfigurieren des Zugriffs auf private Registrierungen für Dependabot und Leitfaden zum Konfigurieren privater Registrierungen für Dependabot.

Es gibt zwei Speicherorte in der dependabot.yml-Datei, an denen du den registries-Schlüssel verwenden kannst:

  1. Informationen zur obersten Ebene, auf der Sie die zu verwendenden privaten Register definieren, sowie deren Zugriffsinformationen, finden Sie unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.

  2. In den updates-Blöcken können Sie angeben, welche privaten Registrierungen für jeden Paket-Manager verwendet werden sollen.

           Dependabot Das Standardverhalten besteht darin, Pullanforderungen nur zum Aktualisieren von Abhängigkeiten auszuheben, die in öffentlich zugänglichen Registrierungen gespeichert sind.

Wenn die Dependabot Konfigurationsdatei über einen Abschnitt auf oberster Ebene registries verfügt und den Zugriff auf eine oder mehrere private Registrierungen definiert, können Sie jede package-ecosystem für die Verwendung einer oder mehrerer dieser privaten Registrierungen konfigurieren.

Wenn registries für einen Paket-Manager definiert ist:

  • Jede für einen Paket-Manager angegebene private Registrierung wird auf Versions- und Sicherheitsupdates überprüft.
  •         Dependabot verwendet die im Abschnitt der obersten Ebene `registries` definierten Zugriffsdetails.

Unterstützte Werte: REGISTRY_NAME oder "*"

          `schedule`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
        

          **Erforderliche Option.** Definieren Sie, wie oft nach neuen Versionen für jeden Paket-Manager gesucht werden soll, den Sie mit dem Parameter `interval` konfigurieren. Optional können Sie für tägliche und wöchentliche Intervalle anpassen, wann Dependabot nach Updates sucht. Beispiele findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates).
ParameterZweck
interval
          **Erforderlich.** Definiert die Häufigkeit für Dependabot. |

| day | Geben Sie den Ausführungstag für ein wöchentliches Intervall an. | | time | Gib die Ausführungszeit an. | | | | cronjob | Definiert den Cron-Ausdruck, wenn der Intervalltyp cron ist. | | | | timezone | Gib die Zeitzone des time-Werts an. |

interval

Unterstützte Werte: daily, weekly, monthly, quarterly, semiannually, yearly oder cron

Jeder Paket-Manager muss ein Zeitplanintervall definieren.

  • Verwenden Sie daily für die Ausführung an jedem Wochentag von Montag bis Freitag.
  • Verwenden Sie weekly für die Ausführung einmal pro Woche, standardmäßig am Montag.
  • Verwende monthly, damit die Ausführung am ersten Tag jedes Monats erfolgt.
  •         `quarterly` wird verwendet und am ersten Tag jedes Quartals (Januar, April, Juli und Oktober) ausgeführt.

  •         `semiannually` wird verwendet und alle sechs Monate am ersten Tag von Januar und Juli ausgeführt.

  •         `yearly` wird verwendet und am ersten Tag im Januar ausgeführt.

  •         `cron` wird für auf die Cron-Ausdruck basierte Planungsoption verwendet. Vgl. [`cronjob`](#cronjob).

In der Standardeinstellung wird Dependabot zufällig eine Zeit zugewiesen, um alle Updates in der Konfigurationsdatei anzuwenden. Du kannst die Parameter time und timezone verwenden, um eine bestimmte Laufzeit für alle Intervalle festzulegen.
Wenn Sie ein cron Intervall verwenden, können Sie die Aktualisierungszeit mit einem cronjob Ausdruck definieren.

day

Unterstützte Werte: monday, tuesday, wednesday, thursday, friday, saturday oder sunday

Führen Sie optional wöchentliche Updates für einen Paket-Manager an einem bestimmten Tag der Woche aus.

time

Formatierung: hh:mm

Führen Sie optional alle Updates für einen Paket-Manager zu einem bestimmten Tageszeitpunkt aus. Die Uhrzeiten werden standardmäßig als UTC interpretiert.

cronjob

Unterstützte Werte: Gültiger Cron-Ausdruck mit Cron-Syntax oder natürlichem Ausdruck.

Die Cron-Syntax umfasst fünf durch Leerzeichen getrennte Felder, die jeweils eine Zeiteinheit darstellen.

┌───────────── minute (0 - 59)
│ ┌───────────── hour (0 - 23)
│ │ ┌───────────── day of the month (1 - 31)
│ │ │ ┌───────────── month (1 - 12 or JAN-DEC)
│ │ │ │ ┌───────────── day of the week (0 - 6 or SUN-SAT)
│ │ │ │ │
* * * * *

Beispiele: 0 9 * * *, every day at 5pm

          `0 9 * * *` entspricht „jeden Tag um 9:00 Uhr“ 
          `every day at 5pm` entspricht `0 17 * * *`.

Hinweis

  • Zeitzonen müssen im Parameter timezone und nicht in der cronjob angegeben werden.
  • Für die Verwendung eines cronjob-Intervalls ist ein cron-Typplan erforderlich.
YAML

# Basic `dependabot.yml` file for cronjob

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates based on `cronjob` value
    schedule:
      interval: "cron"
      cronjob: "0 9 * * *"

timezone

Gib eine Zeitzone für den time-Wert an. Die Standardzeitzone ist UTC.

Der Zeitzonenbezeichner muss mit einer Zeitzone in der Datenbank übereinstimmen, die von iana verwaltet wird. Weitere Informationen finden Sie unter Liste der tz-Datenbankzeitzonen.

          `target-branch`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Definieren Sie einen bestimmten Branch, um nach Versionsupdates zu suchen und Pull Requests für Versionsupdates zu erstellen. Beispiele findest du unter Anpassen von Dependabot-Pull-Requests an deine Prozesse.

          Dependabot Standardverhalten:

* Dependabot verwendet die Standardbranch für das Repository, siehe Informationen zum Standardbranch.

Wenn target-branch definiert ist:

  • Nur Manifestdateien im Zielbranch werden auf Versionsupdates überprüft.
  • Alle Pull Requests für Versionsupdates werden geöffnet, die auf den angegebenen Branch abzielen.
  • Für dieses package-ecosystem definierte Optionen gelten nicht mehr für Sicherheitsupdates, da Sicherheitsupdates immer den Standardbranch für das Repository verwenden.

          `exclude-paths`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Wird verwendet, um Pfade von Verzeichnissen und Dateien anzugeben, die Dependabot beim Suchen nach Manifesten und Abhängigkeiten ignoriert werden sollen. Diese Option ist nützlich, wenn du Updates für Abhängigkeiten an bestimmten Speicherorten verhindern möchtest, z. B. Testressourcen, Herstellercode oder bestimmte Dateien.

          Dependabot Standardverhalten:
  • Alle Verzeichnisse und Dateien in den angegebenen directory werden in die Updateüberprüfung einbezogen, es sei denn, sie werden von dieser Option ausgeschlossen.

Wenn exclude-paths definiert ist:

  • Alle Dateien und Verzeichnisse, die mit den angegebenen Pfaden übereinstimmen, werden bei der Updateüberprüfung für den angegebenen package-ecosystem-Eintrag ignoriert.
ParameterZweck
exclude-pathsEine Liste von Globmustern für Dateien oder Verzeichnisse, die ignoriert werden sollen.

Globmuster werden unterstützt, z. B. ** für rekursiven Abgleich und * für Platzhalter mit einem Segment. Muster sind relativ zum für die Updatekonfiguration angegebenen directory. Jedes Ökosystem kann über eigene exclude-paths-Einstellungen verfügen.

Example

YAML
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    exclude-paths:
      - "src/test/assets"
      - "vendor/**"
      - "src/*.js"
      - "src/test/helper.js"

# Sample patterns that can be used-

# Pattern: docs/*.json
# Matches: docs/foo.json, docs/bar.json

# Pattern: *.lock
# Matches: Gemfile.lock, package.lock, foo.lock (in any directory)

# Pattern: test/**
# Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt

# Pattern: config/settings.yml
# Matches: config/settings.yml

# Pattern: **/*.md
# Matches: README.md, docs/guide.md, any/depth/file.md

# Pattern: src/*
# Matches: src/main.rb, src/app.js
# Does NOT match: src/utils/helper.rb

# Pattern: hidden/.*
# Matches: hidden/.env, hidden/.secret

In diesem Beispiel Dependabot wird das src/test/assets Verzeichnis, alle Dateien unter vendor/, alle JavaScript-Dateien direkt unter src/, und die spezifische Datei src/test/helper.js beim Suchen nach Updates ignoriert.

          `vendor`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Unterstützt von: nur bundler und gomod.

Informieren Sie Dependabot , dass Ihre lieferantenbezogenen Abhängigkeiten sowie die von Manifestdateien definierten Abhängigkeiten beibehalten werden. Eine Abhängigkeit wird beim Speichern des Codes in Ihrem Repository als „anbieterbezogen“ oder „zwischengespeichert“ beschrieben. Weitere Informationen finden Sie in der bundle cache-Dokumentation und der go mod vendor-Dokumentation.

Beispiele findest du unter Steuerung der Abhängigkeiten, die von Dependabot aktualisiert werden.

          Dependabot Standardverhalten:
  • Behalten Sie nur Abhängigkeiten bei, die im Manifest erfasst wurden, und sperren Sie Dateien, die für Bundler identifiziert wurden.
  • Erstellen Sie Pull Requests für Sicherheits- und Versionsupdates, die die im Manifest aufgezeichneten Versionsnummern aktualisieren und Dateien sperren.
  • Bei Go-Modulen werden alle anbieterbezogenen Abhängigkeiten automatisch so identifiziert und verwaltet, als ob vendor aktiviert wurde.

Wenn vendor aktiviert ist:

  •         Dependabot verwaltet außerdem Abhängigkeiten für Bundler, die im  `_vendor/cache_` Verzeichnis im Repository gespeichert sind.
  • Pull Requests enthalten manchmal Updates für eine Abhängigkeit, die im Repository gespeichert ist.

Unterstützte Werte: true oder false

          `versioning-strategy`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Unterstützt von: bundler, , cargo, composer``mix, npm, pip, , und pub``uv

Definieren, wie Dependabot Manifestdateien bearbeitet werden sollen. Beispiele findest du unter Steuerung der Abhängigkeiten, die von Dependabot aktualisiert werden.

          Dependabot Standardverhalten:
  • Versuchen Sie, zwischen App- und Bibliotheksabhängigkeiten zu unterscheiden.
  • Erhöhen Sie für Apps immer die Mindestversionsanforderung, damit diese der neuen Version entspricht. Die increase-Strategie.
  • Erweitern Sie für Bibliotheken, wenn möglich, die Versionsanforderungen so, dass sowohl die neue als auch die alte Version einbezogen wird. Die widen-Strategie.

Wenn versioning-strategy definiert ist, wird die angegebene Strategie von Dependabot verwendet.

WertVerhalten
autoStandardverhalten.
increaseErhöhe die Mindestversionsanforderung immer so, dass sie der neuen Version entspricht. Wenn bereits ein Bereich vorhanden ist, erhöht dies in der Regel nur die Untergrenze.
increase-if-necessaryLass die Versionsanforderungen unverändert, wenn das neue Release bereits zulässig ist (Dependabot aktualisiert weiterhin die aufgelöste Version). Erweitere andernfalls die Anforderung.
lockfile-onlyErstelle nur Pull Requests zum Aktualisieren von Sperrdateien. Ignoriere alle neuen Versionen, die Paketmanifeständerungen erfordern würden.
widenErweitere, wenn möglich, die Versionsanforderungen so, dass sowohl die neue als auch die alte Version einbezogen wird. In der Regel erhöht sich dadurch nur die Anforderung für die maximal zulässige Version.

Wenn die aktuelle Version beispielsweise 1.0.0 und die aktuelle Einschränkung ^1.0.0 ist, würden die verschiedenen Strategien die folgenden Updates auslösen:

Neue Version 1.2.0

  •         `increase`: neue Einschränkung `^1.2.0`

  •         `increase-if-necessary`: neue Einschränkung `^1.0.0`

  •         `widen`: neue Einschränkung `^1.0.0`

Neue Version 2.0.0

  •         `increase`: neue Einschränkung `^2.0.0`

  •         `increase-if-necessary`: neue Einschränkung `^2.0.0`

  •         `widen`: neue Einschränkung `>=1.0.0 <3.0.0`

Hinweis

Wenn der verwendete Paket-Manager die Konfiguration des parameters versioning-strategy noch nicht unterstützt oder einen benötigten Wert nicht unterstützt, ist der Strategiecode Open Source. Wenn Sie also möchten, dass ein bestimmtes Ökosystem eine neue Strategie unterstützt, können Sie jederzeit eine Pullanforderung in https://github.com/dependabot/dependabot-core/ übermitteln.

Versionsverwaltungstags

  • Stellen Phasen im Softwarereleaselebenszyklus dar, z. B. Alpha, Beta und stabile Versionen.
  • Ermöglichen Herausgebern eine effizientere Verteilung ihrer Pakete.
  • Geben die Stabilität einer Version an und informieren Benutzer dazu, was sie in Bezug auf Features und Stabilität erwarten können.

Dependabot erkennt eine Vielzahl von Versionsverwaltungstags für Vorabversionen, stabile Versionen und benutzerdefinierte Tags in verschiedenen Ökosystemen.

Die Datei dependabot.yml bestimmt nicht, welche Versionsverwaltungstags verwendet werden können. Aber du kannst in Konfigurationsoptionen wie ignore festlegen, für welche unterstützten Versionsverwaltungstags Aktualisierungen ignoriert werden sollen.

Unterstützte Versionsverwaltungstags

| Paket-Manager | YAML-Wert | Unterstützte Tags | Beispiele | |---------------------|----------------|--------------------|--------------| | Maven | maven | alpha, a, beta, b, milestone, m, rc, cr, sp, ga, final, release, snapshot | [email protected], [email protected] | | npm | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | lodash@beta, react@latest``express@next | | pnpm | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | [email protected], react@alpha``vue@next | | yarn | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | [email protected], axios@latest``moment@nightly |

Glossar zu Versionsverwaltungstags

  •         **
        `alpha`:** Frühe Version, kann instabil sein und unvollständige Features enthalten

  •         **
        `beta`:** Stabiler als Alpha, enthält jedoch möglicherweise immer noch Fehler.

  •         **
        `canary`:** Regelmäßig aktualisiertes Vorabrelease zum Testen.

  •         **
        `dev`:** Stellt Entwicklungsversionen dar.

  •         **
        `experimental`:** Versionen mit experimentellen Features.

  •         **
        `latest`:** Die neueste stabile Version.

  •         **
        `legacy`:** Ältere oder veraltete Versionen.

  •         **
        `next`:** Nächste Release-Version.

  •         **
        `nightly`:** Versionen, die über Nacht entwickelt werden – enthalten häufig die aktuellsten Änderungen.

  •         **
        `rc`:** Freigabekanditat, nahezu stabile Freigabe.

  •         **
        `release`:** Die offizielle Freigabeversion.

  •         **
        `stable`:** Die zuverlässigste produktionsreife Version.


          `registries`-Schlüssel der obersten Ebene

Geben Sie Authentifizierungsdetails an, die Dependabot für den Zugriff auf private Paketregistrierungen verwendet werden können, einschließlich Registrierungen, die von GitLab oder Bitbucket gehostet werden.

Der Wert des registries-Schlüssels ist ein assoziatives Array. Jedes Element dieses Arrays besteht aus einem Schlüssel, der eine bestimmte Registrierung und einen Wert identifiziert, der ein assoziatives Array darstellt, das die Einstellungen angibt, die für den Zugriff auf diese Registrierung erforderlich sind. Durch die folgende dependabot.yml-Datei wird eine Registrierung konfiguriert, die im Abschnitt dockerhub der Datei als registries identifiziert wird. Anschließend wird im Abschnitt updates der Datei darauf verwiesen.

YAML
# Minimal settings to update dependencies stored in one private registry

version: 2
registries:
  dockerhub: # Define access for a private registry
    type: docker-registry
    url: registry.hub.docker.com
    username: octocat
    password: ${{secrets.DOCKERHUB_PASSWORD}}
updates:
  - package-ecosystem: "docker"
    directory: "/docker-registry/dockerhub"
    registries:
      - dockerhub # Allow version updates for dependencies in this registry
    schedule:
      interval: "monthly"

Du verwendest die folgenden Optionen, um Zugriffseinstellungen anzugeben. Registrierungseinstellungen müssen einen type und eine url enthalten, sowie in der Regel eine Kombination aus username und password oder ein token.

ParameterZweck
REGISTRY_NAMEErforderlich: Definiert einen Bezeichner für die Registrierung.
typeErforderlich: Identifiziert den Typ der Registrierung.
AuthentifizierungsdetailsErforderlich: Die Parameter, die für die Bereitstellung von Authentifizierungsdetails unterstützt werden, variieren für Registrierungen unterschiedlicher Typen.
urlErforderlich Die URL, die für den Zugriff auf die Abhängigkeiten in dieser Registrierung verwendet werden soll. Das Protokoll ist optional. Falls nicht angegeben, https:// wird angenommen. Nachstehende Schrägstriche werden von Dependabot nach Bedarf hinzugefügt oder ignoriert.
replaces-baseWenn der boolesche Wert true lautet, löst Dependabot Abhängigkeiten mithilfe der angegebenen url anstelle der Basis-URL dieses Ökosystems auf.

Ausführliche Informationen zu verfügbaren Optionen sowie Empfehlungen und Ratschläge zum Konfigurieren privater Registrierungen findest du unter Leitfaden zum Konfigurieren privater Registrierungen für Dependabot.

          `type` und Authentifizierungsinformationen

Die Parameter, die zum Bereitstellen von Authentifizierungsdetails für den Zugriff auf eine private Registrierung verwendet werden, variieren je nach type-Registrierung.

Registrierung typeErforderliche Authentifizierungsparameter
cargo-registrytoken
composer-repository
          `username` und `password`<br>oder OIDC mit `tenant-id` und `client-id` |

| docker-registry | username und password
oder OIDC mit tenant-id und client-id | | git | username und password
oder OIDC mit tenant-id und client-id | | hex-organization | organization und key | | hex-repository | repo und auth-key, optional mit entsprechendem public-key-fingerprint | | maven-repository | username und password
oder OIDC mit tenant-id und client-id | | npm-registry | username und password
oder token
oder OIDC mit tenant-id und client-id | | nuget-feed | username und password
oder token
oder OIDC mit tenant-id und client-id | | pub-registry | token | | python-index | username und password
oder token
oder OIDC mit tenant-id und client-id | | rubygems-server | username und password
oder token
oder OIDC mit tenant-id und client-id | | terraform-registry | token |

Alle vertraulichen Daten, die für die Authentifizierung verwendet werden, sollten sicher gespeichert und als Verweise von diesem sicheren Speicherort verwendet werden. Weitere Informationen finden Sie unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.

Tipp

Wenn das Konto ein GitHub-Konto ist, kannst du anstelle des Kennworts ein GitHub personal access token verwenden.

Weitere Informationen zur OIDC-Unterstützung finden Sie unter DependabotOpenID Connect und Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.

          `url` und `replaces-base`

Der Parameter url definiert, wo auf eine Registrierung zugegriffen werden soll. Wenn der optionale replaces-base Parameter aktiviert ist (true), werden Abhängigkeiten mithilfe des Werts von Dependabot anstelle der Basis-URL dieses spezifischen Ökosystems aufgelöst.