About Dependabot security updates
Dependabot security updates make it easier for you to fix vulnerable dependencies in your repository.
If you enable Dependabot security updates, when a Dependabot alert is raised for a vulnerable dependency in the dependency graph of your repository, Dependabot automatically tries to fix it. For more information, see Dependabot alerts and Configuring Dependabot security updates.
You can add a dependabot.yml configuration file to your repository to customize Dependabot behavior, including update schedules, pull request settings, and which dependencies to monitor. For more information, see О файле dependabot.yml. You then configure options in this file to tell Dependabot how to secure the dependencies your repository relies on.
Сведения о поддерживаемых репозиториях и экосистемах см. в разделе Поддерживаемые экосистемы и репозитории Dependabot.
Примечание.
There is no interaction between the settings specified in the dependabot.yml file and Dependabot security alerts, other than the fact that alerts will be closed when related pull requests generated by Dependabot for security updates are merged.
Dependabot подписывает свои собственные фиксации по умолчанию, даже если подпись фиксации не является требованием для репозитория. Дополнительные сведения о проверенных фиксациях см. в разделе Сведения о проверке подписи фиксации.
Примечание.
Если для репозитория включены Dependabot security updates, Dependabot автоматически попытается открыть запросы на вытягивание для разрешения всех открытых оповещений Dependabot с доступным исправлением. Если вы предпочитаете настраивать оповещения Dependabot открывает запросы на вытягивание, следует оставить Dependabot security updates отключен и создать правило автообъезда. Дополнительные сведения см. в разделе Customizing auto-triage rules to prioritize Dependabot alerts.
GitHub may send Dependabot alerts to repositories affected by a vulnerability disclosed by a recently published GitHub security advisory. Дополнительные сведения см. в разделе Browsing security advisories in the GitHub Advisory Database.
Dependabot checks whether it's possible to upgrade the vulnerable dependency to a fixed version without disrupting the dependency graph for the repository. Then Dependabot raises a pull request to update the dependency to the minimum version that includes the patch and links the pull request to the Dependabot alert, or reports an error on the alert. For more information, see Ошибки dependabot.
The Dependabot security updates feature is available for repositories where you have enabled the dependency graph and Dependabot alerts. You will see a Dependabot alert for every vulnerable dependency identified in your full dependency graph. However, security updates are triggered only for dependencies that are specified in a manifest or lock file. For more information, see Dependency graph.
Примечание.
For npm, Dependabot will raise a pull request to update an explicitly defined dependency to a secure version, even if it means updating the parent dependency or dependencies, or even removing a sub-dependency that is no longer needed by the parent. For other ecosystems, Dependabot is unable to update an indirect or transitive dependency if it would also require an update to the parent dependency. For more information, see Ошибки dependabot.
You can enable a related feature, Dependabot version updates, so that Dependabot raises pull requests to update the manifest to the latest version of the dependency, whenever it detects an outdated dependency. For more information, see Dependabot version updates.
Когда Dependabot вызывает запросы на вытягивание, такие запросы могут быть предназначены для обновлений безопасности или версий:
- Dependabot security updates — это автоматизированные запросы на вытягивание, позволяющие обновлять зависимости с известными уязвимостями.
- Dependabot version updates — это автоматизированные запросы на вытягивание, позволяющие поддерживать зависимости в актуальном состоянии, даже если у них нет уязвимостей. Чтобы проверить состояние обновлений версий, перейдите на вкладку "Аналитика " репозитория, а затем выберите Граф зависимостей и Dependabot.
If you enable Dependabot security updates, parts of the configuration may also affect pull requests created for Dependabot version updates. This is because some configuration settings are common to both types of updates. For more information, see Настройка запросов на вытягивание обновлений безопасности Dependabot.
Запросы на вытягивание, открытые Dependabot, могут активировать рабочие процессы, выполняющие действия. Дополнительные сведения см. в разделе Automating Dependabot with GitHub Actions.
Dependabot security updates может исправить уязвимые зависимости в GitHub Actions. При включении обновлений системы безопасности Dependabot автоматически создает запрос на вытягивание для обновления уязвимых данных GitHub Actions, используемых в рабочих процессах до минимальной исправленной версии.
About grouped security updates
To further reduce the number of pull requests you may be seeing, you can enable grouped security updates to group sets of dependencies together (per package ecosystem). Dependabot then raises a single pull request to update as many vulnerable dependencies as possible in the group to secure versions at the same time.
For security updates, Dependabot will only group dependencies from different directories per ecosystem under certain conditions and configurations. Dependabot will not group dependencies from different package ecosystems together, and it will not group security updates with version updates.
Вы можете включить сгруппированные pull-запросы Dependabot security updates одним или обоими из следующих способов.
- Чтобы сгруппировать как можно больше доступных обновлений безопасности, между каталогами и в каждой экосистеме, включите группировку в настройках «Advanced Security» для вашего репозитория или в разделе «Глобальные настройки Advanced Security » для вашей организации.
- Для более детального управления группировкой, например группирования по имени пакета, зависимостей разработки и рабочей среды, уровня SemVer или нескольких каталогов для каждой экосистемы, добавьте параметры
dependabot.ymlконфигурации в файл конфигурации в репозитории.
Примечание.
Если вы настроили правила группы для Dependabot security updates в dependabot.yml файле, все доступные обновления будут сгруппированы в соответствии с указанными правилами. Dependabot будет группировать только в этих каталогах, не настроенных в том dependabot.yml случае, если параметр для сгруппированных обновлений безопасности на уровне организации или репозитория также включен.
For more information, see Configuring Dependabot security updates.
About compatibility scores
Dependabot security updates may include compatibility scores to let you know whether updating a dependency could cause breaking changes to your project. These are calculated from CI tests in other public repositories where the same security update has been generated. An update's compatibility score is the percentage of CI runs that passed when updating between specific versions of the dependency.
About automatic deactivation of Dependabot updates
Когда поддержка репозитория перестает взаимодействовать с запросами на вытягивание Dependabot, Dependabot временно приостанавливает обновления и позволяет узнать, см . раздел AUTOTITLE.
About notifications for Dependabot security updates
You can filter your notifications on GitHub to show Dependabot security updates. For more information, see Управление уведомлениями из папки "Входящие".