Diese Version von GitHub Enterprise Server wurde eingestellt am 2026-06-02. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Dependabot-Pullanforderungen

Verstehen Sie die Häufigkeit und Anpassungsmöglichkeiten von Pull-Requests für Versions- und Sicherheitsupdates.

In diesem Artikel

Pullanforderungen für Sicherheitsupdates

Wenn Sie Sicherheitsupdates aktiviert haben, werden Pullanforderungen für Sicherheitsupdates durch eine Warnung für eine Dependabot Abhängigkeit von Ihrem Standardzweig ausgelöst. Dependabot löst automatisch eine Pullanforderung aus, um die anfällige Abhängigkeit zu aktualisieren.

Jeder Pull Request enthält alles, was du brauchst, um einen vorgeschlagenen Fix schnell und sicher zu überprüfen und mit deinem Projekt zu mergen. Dazu gehören Informationen zum Sicherheitsrisiko wie Versionshinweise, Änderungsprotokolleinträge und Commitdetails. Details dazu, welche Sicherheitslücke ein Pull Request behebt, sind für alle ausgeblendet, die keinen Zugriff auf Dependabot alerts für das Repository haben.

Wenn Sie eine Pullanforderung zusammenführen, die ein Sicherheitsupdate enthält, wird die entsprechende Dependabot Warnung für Ihr Repository als aufgelöst markiert. Weitere Informationen zu Dependabot Pullanforderungen finden Sie unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Hinweis

Es empfiehlt sich, automatisierte Tests und Abnahmeprozesse einzurichten, damit Überprüfungen durchgeführt werden, bevor der Pull Request zusammengeführt wird. Das ist besonders wichtig, wenn die vorgeschlagene Version, auf die du ein Upgrade durchführen möchtest, zusätzliche Funktionalität oder Breaking Changes enthält. Weitere Informationen zu Continuous Integration (CI) findest du unter Kontinuierliche Integration (Continuous Integration).

Anpassen von Pullanforderungen für Sicherheitsupdates

Sie können anpassen, wie Dependabot Pullanforderungen für Sicherheitsupdates ausgelöst werden, damit sie am besten den Sicherheitsprioritäten und -prozessen Ihres Projekts entsprechen. Beispiel:

  • Optimieren Sie Dependabot Pullanforderungen, um aussagekräftige Updates zu priorisieren , indem Sie mehrere Updates in eine einzelne Pull-Anforderung gruppieren.
  • Wenden Sie benutzerdefinierte Bezeichnungen an, um pull-Anforderungen in Ihre vorhandenen Workflows zu integrierenDependabot.

Ähnlich wie bei Versionsupdates werden Anpassungsoptionen für Sicherheitsupdates in der dependabot.yml-Datei definiert. Wenn Sie die dependabot.yml für Versionsaktualisierungen bereits angepasst haben, dann könnten viele der von Ihnen definierten Konfigurationsoptionen auch automatisch auf Sicherheitsaktualisierungen angewendet werden. Es gibt jedoch einige wichtige Punkte zu beachten:

  • Dependabot security updates werden immer durch einen Sicherheitshinweis ausgelöst, statt entsprechend dem schedule aus dem dependabot.yml, den Sie für Versionsupdates festgelegt haben, ausgeführt zu werden.
  • Dependabot erstellt Pull Requests für Sicherheitsupdates nur gegen den Standard-Branch. Wenn deine Konfiguration einen Wert für target-branch festlegt, gilt die Anpassung für dieses Paketökosystem standardmäßig nur für Versionsupdates.

Weitere Informationen findest du unter Anpassen von Pull Requests für Dependabot-Sicherheitsupdates.

Pullanforderungen für Versionsupdates

Für Versionsupdates geben Sie an, wie oft jedes Ökosystem auf neue Versionen in der Konfigurationsdatei überprüft werden soll: täglich, wöchentlich oder monatlich.

Beim ersten Aktivieren der Versionsaktualisierung sind möglicherweise viele Abhängigkeiten veraltet, und einige hinken der aktuellen Version um mehrere Versionen hinterher. Dependabot führt sofort nach der Aktivierung eine Überprüfung auf veraltete Abhängigkeiten durch. Abhängig davon, für wie viele Manifestdateien du Updates konfigurierst, werden dir möglicherweise schon wenige Minuten nach dem Hinzufügen der Konfigurationsdatei neue Pull Requests für Versionsaktualisierungen angezeigt. Dependabot führt auch bei späteren Änderungen an der Konfigurationsdatei eine Aktualisierung durch.

Damit die Pull Requests überschaubar bleiben und leicht überprüft werden können, löst Dependabot maximal fünf Pull Requests aus, um die Abhängigkeiten an die neueste Version anzupassen. Wenn einige der ersten Pull Requests vor der nächsten geplanten Aktualisierung gemergt werden, werden die verbleibenden Pull Requests beim nächsten Update geöffnet, bis zu diesem Höchstwert. Du kannst die maximale Anzahl offener Pull Requests ändern, indem du die open-pull-requests-limit-Konfigurationsoption festlegst.

Um die Anzahl von Pull Requests weiter zu verringern, kannst du mithilfe der Konfigurationsoption groups Abhängigkeiten (pro Paketökosystem) in Gruppen zusammenfassen. Dependabot löst dann einen einzigen Pull Request aus, um möglichst viele Abhängigkeiten in der Gruppe gleichzeitig auf die neuesten Versionen zu aktualisieren. Weitere Informationen finden Sie unter Optimieren der Erstellung von Pull Requests für Versionsupdates von Dependabot.

Befehle für Dependabot Pullanforderungen

Dependabot antwortet auf einfache Befehle in Kommentaren. Jeder Pull Request enthält im Abschnitt „Dependabot Befehle und Optionen“ Details zu den Befehlen, die Sie zum Verarbeiten des Pull Requests verwenden können (z. B. zum Zusammenführen, Squashen, erneuten Öffnen, Schließen oder Rebasen des Pull Requests). Du sollst diese automatisch generierten Pull Requests so einfach wie möglich selektieren können. Weitere Informationen findest du unter Befehle zum Abrufen von Dependabot-Abrufanforderungskommentaren.