Pull-запросы Dependabot

Понимайте частоту и опции настройки pull-запросов на обновления версий и безопасности.

В этой статье

Pull запросы на обновления безопасности

Если вы включили обновления безопасности, pull запросы на обновления безопасности запускаются Dependabot оповещением о зависимости от вашей стандартной ветки. Dependabot Автоматически вызывает pull request для обновления уязвимой зависимости.

Каждый запрос на вытягивание содержит все необходимое для быстрого и безопасного просмотра и слияния предлагаемого исправления в проект. Сюда входят сведения об уязвимости, такие как заметки о выпуске, записи журнала изменений и сведения о фиксации. Детали того, какую уязвимость разрешает pull-запрос, скрыты от тех, кто не имеет доступа Dependabot alerts к репозиторию.

Когда вы объединяете pull request, содержащий обновление безопасности, соответствующее Dependabot оповещение отмечается как разрешённое для вашего репозитория. Для получения дополнительной информации о Dependabot pull requests см. AUTOTITLE.

Примечание.

Рекомендуется использовать автоматизированные тесты и процессы принятия, чтобы проверки выполнялись до объединения запроса на вытягивание. Это особенно важно, если предлагаемая версия для обновления содержит дополнительные функциональные возможности или изменение, которое нарушает код проекта. Дополнительные сведения о непрерывной интеграции см. в разделе Непрерывная интеграция.

Настройка pull-запросов для обновлений безопасности

Вы можете настроить способ Dependabot повышения pull request-запросов на обновления безопасности, чтобы они лучше соответствовали приоритетам и процессам безопасности вашего проекта. Рассмотрим пример.

  • Оптимизируйте Dependabot pull-запросы для приоритета значимых обновлений , объединяя несколько обновлений в один pull request.
  • Применяйте пользовательские метки, чтобы интегрировать Dependabotpull-запросы в ваши текущие рабочие процессы.

Как и обновления версий, параметры настройки обновлений безопасности определяются в dependabot.yml файле. Если вы уже настроили dependabot.yml обновления версий, то многие из параметров конфигурации, определенных вами, также могут применяться к обновлениям системы безопасности. Однако есть несколько важных моментов, которые стоит отметить:

  • Dependabot security updates всегда срабатывают через предупреждение безопасности, а не выполняются согласно schedule установленному варианту dependabot.yml для обновлений версий.
  • Dependabot Поднимает pull запросы на обновления безопасности только на стандартной ветке. Если ваша конфигурация задает значение target-branch, то настройка для этой экосистемы пакетов будет применяться только к обновлениям версий по умолчанию.

Дополнительные сведения см. в разделе Настройка запросов на вытягивание обновлений безопасности Dependabot.

Pull запросы на обновления версий

Для обновлений версий вы указываете, как часто проверять новые версии каждой экосистемы в конфигурационном файле: ежедневно, еженедельно или ежемесячно.

При первом включении обновлений версий может присутствовать много устаревших зависимостей, а некоторые из них могут быть устаревшими на много версий по сравнению с последней. Dependabot проверяет наличие устаревших зависимостей сразу после включения. Новые запросы на вытягивание обновлений версий могут отобразиться в течение нескольких минут после добавления файла конфигурации в зависимости от количества файлов манифеста, для которых настроены обновления. Dependabot также запустит обновление последующих изменений в файле конфигурации.

Для обеспечения управляемости запросов на вытягивание и упрощения их проверки Dependabot создает не более пяти запросов на вытягивание, чтобы приступить к обновлению зависимостей до последней версии. В случае слияния некоторых из этих первых запросов на вытягивание до следующего запланированного обновления оставшиеся запросы на вытягивание откроются в том же максимальном количестве при следующем обновлении. Вы можете изменить максимальное количество открытых запросов на вытягивание, задав параметр конфигурацииopen-pull-requests-limit.

Чтобы уменьшить количество запросов на вытягивание, которые вы видите, можно использовать groups параметр конфигурации для группирования наборов зависимостей вместе (на экосистему пакетов). Затем Dependabot создает один запрос на вытягивание, чтобы обновить столько зависимостей в группе до последних версий одновременно. Для получения дополнительной информации см. Оптимизация создания запросов на вытягивание обновлений версий Dependabot.

Команды для Dependabot pull request

Dependabot отвечает на простые команды в комментариях. Каждый pull request содержит детали команд, которые можно использовать для обработки pull request (например: слияние, сжатие, повторное открытие, закрытие или перебазирование pull request) в разделе «Dependabot команды и опции». Цель состоит в том, чтобы как можно больше упростить рассмотрение этих автоматически созданных запросов на вытягивание. Дополнительные сведения см. в разделе Команды комментариев Dependabot pull request.