Enterprise Server 3.21 ist derzeit als Release Candidate verfügbar.

Konfigurieren von Dependabot-Versionsupdates

Sie können Ihr Repository so konfigurieren, dass Dependabot die von Ihnen verwendeten Pakete automatisch aktualisiert werden.

Wer kann dieses Feature verwenden?

Users with write access

In diesem Artikel

Hinweis

Dein Websiteadministrator muss Dependabot updates für Ihre GitHub Enterprise Server-Instance einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Möglicherweise kannst du Dependabot updates nicht aktivieren oder deaktivieren, wenn ein Unternehmensbesitzer eine Richtlinie auf Unternehmensebene festgelegt hat. Weitere Informationen finden Sie unter Implementierung von Richtlinien zur Codesicherheit und -analyse für Ihr Unternehmen.

Aktivieren von Dependabot version updates

Sie aktivieren Dependabot version updates, indem Sie eine dependabot.yml-Konfigurationsdatei in Ihr Repository committen.

  1. Erstelle die Konfigurationsdatei dependabot.yml im Verzeichnis .github deines Repositorys. Sie können den folgenden Codeausschnitt als Ausgangspunkt verwenden. For information about the options you can use to customize how Dependabot maintains your repositories, see Referenz zu Dependabot-Optionen.

    YAML
    # To get started with Dependabot version updates, you'll need to specify which
# package ecosystems to update and where the package manifests are located.

version: 2
updates:
- package-ecosystem: "" # See documentation for possible values
  directory: "/" # Location of package manifests
  schedule:
    interval: "weekly"

  2. Füge eine version hinzu. Dieser Schlüssel ist obligatorisch. Die Datei muss mit version: 2 beginnen.

  3. Wenn du über Abhängigkeiten in einer privaten Registrierung verfügst, kannst du optional einen registries-Abschnitt mit Authentifizierungsdetails hinzufügen. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.

  4. Fügen Sie einen updates Abschnitt mit einem Eintrag für jeden Paket-Manager hinzu, den Sie überwachen möchten Dependabot . Dieser Schlüssel ist obligatorisch. Sie verwenden es, um zu konfigurieren, wie Dependabot die Versionen oder die Abhängigkeiten Ihres Projekts aktualisiert werden. Jeder Eintrag konfiguriert die Update-Einstellungen für einen bestimmten Paketmanager. Weitere Informationen findest du unter Informationen zur dependabot.yml-Datei und Referenz zu Dependabot-Optionen.

  5. Verwende für jeden Paket-Manager:

    • package-ecosystem, um den Paket-Manager anzugeben. Weitere Informationen zu unterstützten Paket-Managern finden Sie unter package-ecosystem.
    • directories oder directory, um den Speicherort mehrerer Manifest- oder anderer Definitionsdateien anzugeben. Weitere Informationen findest du unter Definieren mehrerer Speicherorte für Manifestdateien.
    • schedule.interval, um anzugeben, wie oft nach neuen Versionen gesucht werden soll.

  6. Überprüfe die Konfigurationsdatei dependabot.yml im .github-Verzeichnis des Repositorys.

Beispieldatei für dependabot.yml

Die folgende Beispieldatei dependabot.yml konfiguriert Versionsupdates für drei Paketmanager: npm, Docker und GitHub Actions. Wenn diese Datei eingecheckt wird, prüft Dependabot die Manifestdateien im Standard-Branch auf veraltete Abhängigkeiten. Wenn veraltete Abhängigkeiten gefunden werden, werden Pull Requests für den Standardbranch ausgelöst, damit die Abhängigkeiten aktualisiert werden.

YAML
# Basic `dependabot.yml` file with
# minimum configuration for three package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"

  # Enable version updates for GitHub Actions
  - package-ecosystem: "github-actions"
    # Workflow files stored in the default location of `.github/workflows`
    # You don't need to specify `/.github/workflows` for `directory`. You can use `directory: "/"`.
    directory: "/"
    schedule:
      interval: "weekly"

Wenn die Docker-Abhängigkeiten im obigen Beispiel sehr veraltet waren, empfiehlt es sich, mit einem Zeitplan vom Typ daily zu beginnen, bis die Abhängigkeiten aktuell sind, und dann wieder auf einen wöchentlichen Zeitplan überzugehen.

Aktivieren von Versionsupdates für Forks

Wenn du Versionsupdates für Forks aktivieren möchtest, gibt es einen zusätzlichen Schritt. Versionsupdates werden nicht automatisch für Forks aktiviert, wenn eine dependabot.yml-Konfigurationsdatei vorhanden ist. Dadurch wird sichergestellt, dass Forkbesitzer nicht versehentlich Versionsupdates aktivieren, wenn sie Änderungen, einschließlich einer dependabot.yml-Konfigurationsdatei, aus dem ursprünglichen Repository abrufen.

In einem Fork müssen Sie Dependabot ebenfalls explizit aktivieren.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicken Sie unter „Dependabot“ rechts neben „Dependabot version updates“ auf „Aktivieren“, damit Dependabot Versionsupdates starten kann.

Empfangen von Updates für indirekte Abhängigkeiten

Standardmäßig werden nur direkte Abhängigkeiten, die in einem Manifest explizit definiert sind, auf dem neuesten Stand gehalten.Dependabot version updates Du kannst auswählen, Updates für indirekte Abhängigkeiten zu empfangen, die in Sperrdateien definiert sind. Weitere Informationen findest du unter Steuerung der Abhängigkeiten, die von Dependabot aktualisiert werden.

Aktivieren des Zugriffs auf private Abhängigkeiten

Bei der Durchführung von Sicherheits- oder Versionsupdates müssen einige Ökosysteme in der Lage sein, alle Abhängigkeiten von der jeweiligen Quelle aufzulösen, um zu überprüfen, ob die Updates erfolgreich waren. Wenn deine Manifest- oder Sperrdateien private Abhängigkeiten enthalten, muss Dependabot auf den Speicherort zugreifen können, an dem diese Abhängigkeiten gehostet werden. Organisationsbesitzer können Dependabot Zugriff auf private Repositorys gewähren, die Abhängigkeiten für ein Projekt innerhalb derselben Organisation enthalten. Weitere Informationen finden Sie unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation. Du kannst den Zugriff auf private Registrierungen in der Konfigurationsdatei dependabot.yml eines Repositorys konfigurieren. Weitere Informationen finden Sie unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.

Außerdem unterstützt Dependabot private GitHub-Abhängigkeiten nicht für alle Paketmanager. Weitere Informationen findest du unter Von Dependabot unterstützte Ökosysteme und Repositorys und GitHub Sprachunterstützung.

Überprüfen des Status von Versionsupdates

Nachdem du Versionsupdates aktiviert hast, ist im Abhängigkeitsdiagramm für das Repository die Registerkarte Dependabot ausgefüllt. Diese Registerkarte zeigt, welche Paketmanager Dependabot überwacht und wann Dependabot zuletzt nach neuen Versionen gesucht hat.

Screenshot: Seite „Abhängigkeitsdiagramm“. Die Registerkarte „Dependabot“ ist orange umrandet.

Informationen findest du unter Auflisten von für Versions-Updates konfigurierten Abhängigkeiten.

Deaktivieren Dependabot version updates

Du kannst Versionsupdates vollständig deaktivieren, indem du die Datei dependabot.yml aus deinem Repository löschst. In der Regel möchtest du Updates vorübergehend für eine oder mehrere Abhängigkeiten oder Paket-Manager deaktivieren.

  • Paket-Manager: Deaktiviere Updates durch Festlegen von open-pull-requests-limit: 0 oder durch Auskommentieren vom relevanten package-ecosystem in der Konfigurationsdatei.
  • Bestimmte Abhängigkeiten: Deaktiviere Updates durch Hinzufügen von ignore-Attributen für Pakete oder Anwendungen, die du aus Updates ausschließen möchtest.

Wenn du Abhängigkeiten deaktivierst, kannst du Platzhalter verwenden, um Übereinstimmungen mit verwandten Bibliotheken zu erzielen. Du kannst auch angeben, welche Versionen ausgeschlossen werden sollen. Dies ist besonders nützlich, wenn du Updates für eine Bibliothek blockieren musst – bei ausstehender Arbeit zum Unterstützen eines Breaking Change an der API –, aber alle Sicherheitskorrekturen für die von dir verwendete Version abrufen möchtest.

Beispiel für das Deaktivieren von Versionsupdates für einige Abhängigkeiten

Das nachstehende Beispiel für die Datei dependabot.yml enthält Beispiele für die verschiedenen Möglichkeiten zum Deaktivieren von Updates für einige Abhängigkeiten, während andere Updates fortgesetzt werden können.

# `dependabot.yml` file with updates
# disabled for Docker and limited for npm

version: 2
updates:
  # Configuration for Dockerfile
  - package-ecosystem: "docker"
    directory: "/"
    schedule:
      interval: "weekly"
      # Disable all pull requests for Docker dependencies
    open-pull-requests-limit: 0

  # Configuration for npm
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    ignore:
      # Ignore updates to packages that start with 'aws'
      # Wildcards match zero or more arbitrary characters
      - dependency-name: "aws*"
      # Ignore some updates to the 'express' package
      - dependency-name: "express"
        # Ignore only new versions for 4.x and 5.x
        versions: ["4.x", "5.x"]
      # For all packages, ignore all patch updates
      - dependency-name: "*"
        update-types: ["version-update:semver-patch"]

Weitere Informationen zum Überprüfen auf vorhandene Einstellungen vom Typ „Ignorieren“ findest du unter Referenz zu Dependabot-Optionen.