Справочник по параметрам зависимостей

В этой статье приведена справочная информация по параметрам конфигурации, доступным в dependabot.yml файле. Используйте эти параметры для настройки того, как Dependabot отслеживает экосистемы пакетов, планирует обновления и создаёт pull requests. Для обзора dependabot.yml файла и его работы смотрите АВТОЗАГОЛОВОК.

Все опции, отмеченные значком , также изменяют способ Dependabot создавать pull requests for security updates, за исключением случаев, где target-branch используется это использовано.

Обязательные ключи

Key	Местоположение	Цель
`version`	Верхний уровень	Синтаксис конфигурации Dependabot для использования. Всегда: `2`.
`updates`	Верхний уровень	Раздел, в котором определяется каждый `package-ecosystem` из них для обновления.
`package-ecosystem`	в разделе `updates`	Определите диспетчер пакетов для обновления.

          [
          `directories` или `directory`](#directories-or-directory--) | Под каждой `package-ecosystem` записью | Определите расположение манифеста или других файлов определений для обновления. |

| schedule.interval | Под каждой package-ecosystem записью | Определите, следует ли искать обновления версий: daily, weeklyили monthly. |

Кроме того, можно включить ключ верхнего уровня registries для определения сведений о доступе для частных реестров, смregistries верхнего уровня".

YAML

# Basic `dependabot.yml` file with
# minimum configuration for two package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"


# Basic `dependabot.yml` file with
# minimum configuration for two package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"

Пример файла в реальном мире dependabot.yml см. в разделе Dependabotсобственный файл конфигурации.

          `allow` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Используется для определения точного определения зависимостей, которые следует поддерживать для экосистемы пакетов. Часто используется с параметром ignore . Примеры см. в разделе Управление обновлениями зависимостей с помощью Dependabot.

Поведение по умолчанию Dependabot

Все зависимости, явно определенные в манифесте, обновляются обновлениями версий.
Все зависимости, определенные в файлах блокировки с уязвимыми зависимостями, обновляются обновлениями системы безопасности.

При allow указании Dependabot используется следующий процесс:

Проверьте наличие всех явно разрешенных зависимостей.
Затем отфильтруйте все игнорируемые зависимости или версии.

Если зависимость соответствует allow оператору и операторуignore, он игнорируется****.

Параметры	Цель
`dependency-name`	Разрешить обновления зависимостей с соответствующими именами, при необходимости используя `*` для сопоставления ноль или более символов.
`dependency-type`	Разрешить обновления для зависимостей определенных типов.

          `dependency-name` (`allow`)

Для большинства диспетчеров пакетов необходимо определить значение, соответствующее имени зависимости, указанному в файле блокировки или манифеста. Некоторые системы имеют более сложные требования.

Диспетчер пакетов	Обязательный формат	Example
Gradle и Maven	`groupId:artifactId`	`org.kohsuke:github-api`
Docker для тегов изображений	Полное имя репозитория	Для тега `<account ID>.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`изображения используйте `base/foo/bar/ruby`.

          `dependency-type` (`allow`)

Типы зависимостей	Поддерживаемые диспетчерами пакетов	Разрешить обновления
`direct`	All	Все явно определенные зависимости.
`indirect`

          `bundler`, `pip`, `composer``cargo`, `gomod`, , `uv` | Зависимости прямых зависимостей (также известные как подзависимости или транзитивные зависимости).|

| all | All | Все явно определенные зависимости. Для bundler, pip, composer, cargo``gomod, , uv, а также зависимости прямых зависимостей.| | production | bundler, composer, , mix``maven``npm, pip, , uv (не все менеджеры) | Только для зависимостей, определенных диспетчером пакетов в качестве рабочих зависимостей. | | development| bundler, composer, , mix``maven``npm, pip, , uv (не все менеджеры) | Только для зависимостей, определенных диспетчером пакетов в качестве зависимостей разработки. |

          `assignees` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Укажите отдельные назначаемый объект для всех запросов на вытягивание, поднятых для экосистемы пакетов. Примеры см. в разделе Настройка запросов на вытягивание зависимостей для соответствия вашим процессам.

Поведение по умолчанию Dependabot

Запросы на вытягивание создаются без назначаемого пользователя.

При assignees определении:

Все запросы на вытягивание обновлений версий создаются с выбранными назначаемые.
Все запросы на вытягивание обновлений для системы безопасности создаются с выбранными назначенными клиентами, если target-branch только не определяет обновления для не ветвь по умолчанию.

Назначаемы должны иметь доступ на запись в репозиторий. Для репозиториев, принадлежащих организации, члены организации с доступом на чтение также являются допустимыми назначаемыми.

          `commit-message` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Определите формат для сообщений фиксации. Так как заголовки запросов на вытягивание записываются на основе сообщений о фиксации, этот параметр также влияет на заголовки запросов на вытягивание. Примеры см. в разделе Настройка запросов на вытягивание зависимостей для соответствия вашим процессам.

Поведение по умолчанию Dependabot

Фиксация сообщений соответствует аналогичным шаблонам, обнаруженным в репозитории.

При commit-message определении:

Все сообщения фиксации соответствуют определенному шаблону.
Все сообщения фиксации соответствуют определенному шаблону, если target-branch только не определяет обновления для не ветвь по умолчанию.

Параметры	Цель
`prefix`	Определяет префикс для всех сообщений фиксации и заголовков запросов на вытягивание.
`prefix-development`	В поддерживаемых системах определяет другой префикс, используемый для фиксаций, которые обновляют зависимости в группе зависимостей разработки.
`include`	Следуйте префиксу сообщения фиксации с дополнительными сведениями.

Совет

Когда запросы на вытягивание создаются для группированных обновлений, имя ветви и название запроса на вытягивание определяются группойIDENTIFIER, см. в разделеgroups .

`prefix`

Используется для всех сообщений фиксации, если prefix-development не определено.
Значение может составлять до 50 символов.
Dependabot вставляет двоеточие после префикса перед добавлением основного сообщения фиксации, когда значение заканчивается буквой, числом, закрывающей скобкой или закрывающей скобкой.
Завершите значение символом пробела, чтобы остановить добавление двоеточия.

`prefix-development`

Поддерживается: bundler, composer, mix, maven, npm``pip, , и uv.

Используется только для сообщений фиксации, обновляющих зависимости в группе зависимостей разработки.
В противном случае параметр ведет себя точно так же, как prefix и параметр.

`include`

Поддерживает только значение scope
При определении любого префикса следует тип зависимостей, обновленных в фиксации: deps или deps-dev.

          `cooldown` <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions icon" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg>

          **Определяет период** охлаждения для обновлений зависимостей, что позволяет отложить обновления в течение настраиваемого количества дней. Эта `cooldown` опция доступна только для обновлений _версий_ , но не для _обновлений безопасности_ .

Эта функция позволяет пользователям настраивать частоту обновления Dependabot, обеспечивая более широкий контроль над частотой обновления. Примеры см. в разделе Оптимизация создания запросов на вытягивание обновлений версий Dependabot.

Поведение по умолчанию Dependabot

Проверьте наличие обновлений в соответствии с запланированным путем schedule.interval.
Рассмотрите все новые версии немедленно** для обновлений**.

При cooldown определении:

Dependabot проверяет наличие обновлений в соответствии с определенными schedule.interval параметрами.
Dependabot проверяет наличие параметров охлаждения.
Если новый выпуск зависимости попадает в период охлаждения, Dependabot пропускает обновление версии для этой зависимости.
Зависимости без периода охлаждения или тех, кто за прошлый период охлаждения, обновляются до последней версии в соответствии с настроенным versioning-strategy параметром.
После завершения охлаждения для зависимости Dependabot возобновляет обновление зависимости после стандартной стратегии обновления, определенной в dependabot.yml.

          **Конфигурация `cooldown`**

Можно указать длительность охлаждения, используя приведенные ниже параметры.

Параметр	Description
`default-days`

          **Период охлаждения по умолчанию для зависимостей без определенных** правил (необязательно). |

| semver-major-days | Период охлаждения для обновлений основных версий (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). | | semver-minor-days | Период охлаждения для дополнительных обновлений версий (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). | | semver-patch-days | Период охлаждения для обновлений версий исправлений (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). | | include | Список зависимостей для применения охлаждения (до 150 элементов). Поддерживает подстановочные знаки (*). | | exclude | Список зависимостей, исключенных из прохладной очистки **** (до 150 элементов). Поддерживает подстановочные знаки (*). |

В таблице ниже показаны диспетчеры пакетов, для которых поддерживается SemVer.

Диспетчер пакетов	Поддерживается SemVer
Средство увязки программ в пакеты
Булочка
Груз
Composer
Devcontainers
Докер
Docker Compose
Dotnet SDK
Elm
GitHub Actions
Gitsubmodule
Gomod (Модули Go)
Gradle (Грэйдл)
Штурвал
Шестнадцатеричное (шестнадцатеричное)
Мейвен
NPM и Yarn
NuGet
PIP
Кабак
Swift
Terraform
УЛЬТРАФИОЛЕТОВЫЙ

Примечание.

Если semver-major-days, semver-minor-daysили semver-patch-days не определены, default-days параметры будут иметь приоритет для обновлений на основе охлаждения.
Список exclude всегда имеет приоритет над списком include . Если зависимость указана в обоих списках, она исключается из прохладной работы и будет немедленно обновлена.

          `directories` или `directory` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

          **Обязательный параметр**. Используется для определения расположения манифестов пакета для каждого диспетчера пакетов (например, _package.json_ или _Gemfile_). Без этой информации Dependabot не удается создать запросы на вытягивание обновлений версий. Примеры см. в разделе ["Определение нескольких расположений для файлов](/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-multiple-locations-for-manifest-files) манифеста".

Используется directory для определения одного каталога манифестов.
Используется directories для определения списка нескольких каталогов манифестов.
Определите каталоги относительно корневого каталога репозитория для большинства диспетчеров пакетов.
Для GitHub Actionsиспользуйте значение /. Dependabot будет искать /.github/workflows каталог, а также action.yml/action.yaml файл из корневого каталога.

Если необходимо использовать несколько блоков в файле конфигурации для определения обновлений для одной целевой ветви экосистемы, необходимо убедиться, что все значения уникальны и не перекрываются в каталогах.

Примечание.

Ключ directories поддерживает глоббинг и подстановочный знак *. Эти функции не поддерживаются ключом directory .

          `enable-beta-ecosystems` <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions icon" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg>

В настоящее время не используется.

          `groups` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Определите правила для создания одного или нескольких наборов зависимостей, управляемых диспетчером пакетов, чтобы группировать обновления в меньшее количество целевых запросов на вытягивание. Примеры см. в разделе Оптимизация создания запросов на вытягивание обновлений версий Dependabot.

Поведение по умолчанию Dependabot

Откройте один запрос на вытягивание для каждой зависимости, которая должна быть обновлена до более новой версии для обновлений версий и обновлений системы безопасности.

Когда groups используется для определения правил:

Все обновления зависимостей, которые соответствуют правилу, объединяются в одном запросе на вытягивание.
Если зависимость соответствует нескольким правилам, она включена в первую группу, которая соответствует ей.
Все устаревшие зависимости, которые не соответствуют правилу, обновляются в отдельных запросах на вытягивание.

Параметры	Цель
`IDENTIFIER`	Определите идентификатор группы для использования в именах ветвей и заголовках запросов на вытягивание. Это должно начинаться и заканчиваться буквами, а также содержать буквы, каналы `\|`, подчеркивания `_`или дефисы `-`.
`applies-to`	Укажите тип обновления, к которому применяется группа. Если не определено, по умолчанию обновляется версия. Поддерживаемые значения: `version-updates` или `security-updates`.
`dependency-type`	Ограничить группу типом. Поддерживаемые значения: `development` или `production`.
`exclude-patterns`	Определите один или несколько шаблонов, чтобы исключить зависимости из группы.
`patterns`	Определите один или несколько шаблонов для включения зависимостей с соответствующими именами.
`update-types`	Ограничить группу одним или несколькими уровнями семантического управления версиями. Поддерживаемые значения: `minor`, `patch`и `major`.

          `dependency-type` (`groups`)

Поддерживается: bundler, , composer``mix, maven, npmи pip.

По умолчанию группа будет включать все типы зависимостей.

Используется development для включения только зависимостей в группу зависимостей разработки.
Используется production для включения только зависимостей в рабочую группу зависимостей.

          `patterns` и `exclude-patterns` (`groups`)

Оба варианта поддерживают использование * в качестве подстановочной карточки для определения совпадений с именами зависимостей. Если зависимость совпадает как с шаблоном, так и с шаблоном исключения, она исключается из группы.

          `update-types` (`groups`)

По умолчанию группа будет включать обновления для всех семантических версий (SemVer). SemVer является принятым стандартом для определения версий программных пакетов в форме x.y.z. Dependabot предполагает, что версии в этой форме всегда major.minor.patchдоступны.

Используется patch для включения выпусков исправлений.
Используется minor для включения дополнительных выпусков.
Используется major для включения основных выпусков.

Примеры см. в разделе Управление обновлениями зависимостей с помощью Dependabot.

          `ignore` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Используйте параметр, allow чтобы определить точно, какие зависимости следует поддерживать для экосистемы пакетов. Dependabot проверяет все разрешенные зависимости, а затем отфильтровывает все пропускаемые зависимости или версии. Таким образом, зависимость, соответствующая как разрешением, так и игнорировать, будет игнорироваться. Примеры см. в разделе Управление обновлениями зависимостей с помощью Dependabot.

Поведение по умолчанию Dependabot

Все зависимости, явно определенные в манифесте, обновляются обновлениями версий.
Все зависимости, определенные в файлах блокировки с уязвимыми зависимостями, обновляются обновлениями системы безопасности.

При ignore использовании Dependabot используется следующий процесс:

Проверьте наличие всех явно разрешенных зависимостей.
Затем отфильтруйте все игнорируемые зависимости или версии.

Если зависимость соответствует allow оператору и операторуignore, он игнорируется****.

Параметры	Цель
`dependency-name`	Игнорируйте обновления зависимостей с именами сопоставления, при необходимости используя `*` для сопоставления ноль или более символов.
`versions`	Игнорировать определенные версии или диапазоны версий.
`update-types`	Игнорировать обновления на одном или нескольких уровнях семантического управления версиями. Поддерживаемые значения: `version-update:semver-minor`, `version-update:semver-patch`и `version-update:semver-major`.

          `dependency-name` (`ignore`)

Диспетчер пакетов	Обязательный формат	Example
Gradle и Maven	`groupId:artifactId`	`org.kohsuke:github-api`
Docker для тегов изображений	Полное имя репозитория	Для тега `<account ID>.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`изображения используйте `base/foo/bar/ruby`.

          `versions` (`ignore`)

Используйте для пропуска определенных версий или диапазонов версий. Если вы хотите определить диапазон, используйте стандартный шаблон для диспетчера пакетов. Рассмотрим пример.

npm: использование ^1.0.0
Пакет: использование ~> 2.0
Docker: использование синтаксиса версии пакета
NuGet: использование 7.*
Maven: использование [1.4,)

Примеры см. в разделе Управление обновлениями зависимостей с помощью Dependabot.

          `update-types` (`ignore`)

Укажите, какие семантические версии (SemVer) следует игнорировать. SemVer является принятым стандартом для определения версий программных пакетов в форме x.y.z. Dependabot предполагает, что версии в этой форме всегда major.minor.patchдоступны.

Используется version-update:semver-patch для включения выпусков исправлений.
Используется version-update:semver-minor для включения дополнительных выпусков.
Используется version-update:semver-major для включения основных выпусков.

          `insecure-external-code-execution` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Поддерживается: bundler, mix и pip.

Разрешить Dependabot выполнять внешний код в манифесте во время обновлений. Примеры см. в разделе "Разрешение выполнения внешнего кода".

Поведение по умолчанию Dependabot

Когда вы предоставляете Dependabot доступ к одному или нескольким реестрам, выполнение внешнего кода автоматически отключается для защиты кода от скомпрометированных пакетов.
Обновления версий могут завершиться ошибкой без возможности выполнения кода.

Если вы разрешаете insecure-external-code-execution:

Dependabot выполнит код в манифесте в рамках процесса обновления версии.
Код имеет доступ только к диспетчерам пакетов в реестрах, связанных с этим updatesпараметром. Доступ к любому из реестров, определенных в конфигурации верхнего уровня registries , не разрешен.
Это должно обеспечить успешное обновление, но также может позволить скомпрометированному пакету украсть учетные данные или получить доступ к настроенным реестрам.

Поддерживаемое значение: allow.

          `labels` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Укажите собственные метки для всех запросов на вытягивание, возникающих для диспетчера пакетов. Примеры см. в разделе Настройка запросов на вытягивание зависимостей для соответствия вашим процессам.

Поведение по умолчанию Dependabot

Все запросы на вытягивание имеют dependencies метку.
Если вы определяете несколько диспетчеров пакетов, в каждый запрос на вытягивание добавляется дополнительная метка для экосистемы или языка. Например, java для обновлений Gradle и submodules для обновлений подмодулы Git.
Если в репозитории присутствуют метки семантической версии (SemVer), они будут применены автоматически для указания типа обновления версии (major, minor, или patch).
Dependabot автоматически создает эти метки по умолчанию, как это требуется в репозитории.

При labels определении:

Указанные метки используются вместо меток по умолчанию.
Метки SemVer (если они присутствуют в репозитории) по-прежнему будут применяться в дополнение к любым определенным пользовательским меткам.
Если какая-либо из этих меток не определена в репозитории, она пропускается.
Вы можете отключить все метки, включая метки по умолчанию, с помощью labels: [ ].

Установка этого параметра также влияет на запросы на вытягивание обновлений системы безопасности для файлов манифеста этого диспетчера пакетов, если только вы не используете target-branch для проверки наличия обновлений версий в ветви, отличной от ветви по умолчанию.

          `milestone` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Свяжите все запросы на вытягивание, поднятые для диспетчера пакетов, с вехой. Примеры см. в разделе Настройка запросов на вытягивание зависимостей для соответствия вашим процессам.

Поведение по умолчанию Dependabot

Не используются вехи.

При milestone определении:

Все запросы на вытягивание диспетчера пакетов добавляются в веху.

Поддерживаемое значение: числовой идентификатор вехи.

Совет

Если вы посмотрите на веху, ее идентификатором является последняя часть URL-адреса страницы, после milestone. Например, см. https://github.com/<org>/<repo>/milestone/3раздел AUTOTITLE.

          `open-pull-requests-limit` <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions icon" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg>

Измените ограничение на максимальное количество запросов на вытягивание обновлений версий, открытых в любое время.

Поведение по умолчанию Dependabot

Если открыты пять запросов на вытягивание с обновлениями версий, дальнейшие запросы на вытягивание не создаются до тех пор, пока некоторые из этих открытых запросов не будут объединены или закрыты.
Обновления системы безопасности имеют отдельный внутренний предел в десять открытых запросов на вытягивание, которые нельзя изменить.

При open-pull-requests-limit определении:

Dependabot открывает запросы на вытягивание до определенного целочисленного значения. Можно задать большое значение, чтобы эффективно убрать лимит на открытые запросы на вытягивание.
Вы можете временно отключить обновления версий для диспетчера пакетов, установив этот параметр равным нулю, см . раздел "Отключение Dependabot version updates".

          `package-ecosystem` <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions icon" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg>

          **Обязательный параметр.** Определите один `package-ecosystem` элемент для каждого диспетчера пакетов, который требуется Dependabot для отслеживания новых версий. Репозиторий также должен содержать манифест зависимостей или файл блокировки для каждого диспетчера пакетов, см [. пример `dependabot.yml` файла](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-dependabotyml-file).

Диспетчер пакетов	Значение YAML	Поддерживаемые версии
Булочка	`bun`	>=v1.2.5
Средство увязки программ в пакеты	`bundler`	v2
Груз	`cargo`	версия 1
Composer	`composer`	версия 2
Контейнеры разработки	`devcontainers`	Неприменимо
Докер	`docker`	версия 1
Docker Compose	`docker-compose`	Версии 2, 3
пакет SDK .NET	`dotnet-sdk`	>=.NET Core 3.1
Диаграммы Helm	`helm`	версия 3
Hex	`mix`	версия 1
Пакет ELM	`elm`	Версия 0.19
Субмодуль Git	`gitsubmodule`	Неприменимо
GitHub Actions	`github-actions`	Неприменимо
Модули Go	`gomod`	версия 1
Gradle (Грэйдл)	`gradle`	Неприменимо
Мейвен	`maven`	Неприменимо
npm	`npm`	v7, v8, v9, v10
NuGet	`nuget`	<=6.12.0
пит	`pip`	v24.2
pip-compile	`pip`	7.4.1
pipenv	`pip`	<= 2024.4.1
pnpm	`npm`	т. 7, т. 8 v9, v10 (только обновления версий)
poetry	`pip`	версия 2
паб	`pub`	версия 2
Swift	`swift`	v5
Terraform	`terraform`	>= 0,13, <= 1.10.x
ультрафиолетовый	`uv`	v0
yarn	`npm`	v1, v2, v3, v4

          `pull-request-branch-name.separator` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Укажите разделитель, используемый при создании имен ветвей. Примеры см. в разделе Настройка запросов на вытягивание зависимостей для соответствия вашим процессам.

Поведение по умолчанию Dependabot

Создайте имена ветвей формы: dependabot/PACKAGE_MANAGER/DEPENDENCY

При pull-request-branch-name.separator определении:

Вместо этого используйте указанный /символ.

Поддерживаемые значения: "-", _``/

Совет

Символ дефиса должен быть экранирован, поэтому он не интерпретируется как запуск пустого списка YAML.

          `rebase-strategy` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Отключите автоматическую перебазировку запросов на вытягивание, вызываемых Dependabot.

Поведение Dependabot по умолчанию — перебазировать открытые запросы на вытягивание, если Dependabot обнаруживает любые изменения в запросе на вытягивание версии или обновления системы безопасности. Dependabot проверяет наличие изменений при:

Расписание выполняется для проверки обновлений версий.
Повторно откройте закрытый запрос на вытягивание Dependabot.
Вы изменяете значение target-branch в файле конфигурации Dependabot, см. разделtarget-branch .
Запрос на вытягивание Dependabot конфликтует после недавней отправки в целевую ветвь.

Если rebase-strategy задано значение disabled, Dependabot перестает перезаключать запросы на вытягивание.

Примечание.

Запросы на вытягивание, открытые перед отключением повторной базы данных, будут перебазироваться до 30 дней после их открытия. Это влияет на все запросы на вытягивание, конфликты с целевой ветвью и все запросы на вытягивание обновлений версий.

          `registries` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Настройте доступ к реестрам частных пакетов, чтобы разрешить Dependabot обновлять более широкий диапазон зависимостей, см[. раздел AUTOTITLE и Настройка доступа к частным реестрам для Dependabot](/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/guidance-for-the-configuration-of-private-registries-for-dependabot).

В файле есть 2 расположения dependabot.yml , в которых можно использовать registries ключ:

На верхнем уровне, где вы определяете частные реестры, которые вы хотите использовать, и сведения о доступе см. в разделе Настройка доступа к частным реестрам для Dependabot.
В блоках, где можно указать, какие частные updates реестры следует использовать каждому диспетчеру пакетов.

Поведение по умолчанию Dependabot заключается в том, чтобы создавать запросы на вытягивание только для обновления зависимостей, хранящихся в общедоступных реестрах.

Если в файле конфигурации Dependabot есть раздел конфигурации верхнего уровня registries , определяющий доступ к одному или нескольким частным реестрам, можно настроить каждый package-ecosystem из них для использования одного или нескольких частных реестров.

Если registries определяется для диспетчера пакетов:

Каждый частный реестр, указанный для диспетчера пакетов, проверяется на наличие обновлений версии и системы безопасности.
Dependabot использует сведения о доступе, определенные в разделе верхнего уровня registries .

Поддерживаемые значения: REGISTRY_NAME или "*"

          `schedule` <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions icon" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg>

          **Обязательный параметр.** Определите частоту проверки новых версий для каждого диспетчера пакетов, который вы настраиваете с помощью `interval` параметра. При необходимости для ежедневных и еженедельных интервалов можно настроить, когда Dependabot проверяет наличие обновлений. Примеры см. в разделе [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates).

Параметры	Цель
`interval`

          **Обязательно**. Определяет частоту для Dependabot. |

`interval`

Поддерживаемые значения: daily, weekly, monthly, или cron

Каждый диспетчер пакетов должен определить интервал расписания.

Используется daily для запуска на каждый рабочий день, понедельник до пятницы.
Используется weekly для запуска раз в неделю по умолчанию в понедельник.
Используйте monthly для запуска первого числа каждого месяца.
Используется cron для параметра планирования на основе выражений cron. Смотрите cronjob.

По умолчанию Dependabot произвольно назначает время применения всех обновлений в файле конфигурации. С помощью time``timezone параметров можно задать определенную среду выполнения для всех интервалов. Если вы используете интервал, cron вы можете определить время обновления с помощью выражения cronjob .

`day`

Поддерживаемые значения: monday, , tuesday, wednesday``thursday, friday``saturdayилиsunday

При необходимости запустите еженедельные обновления для диспетчера пакетов в определенный день недели.

`time`

Формат: hh:mm

При необходимости выполните все обновления для диспетчера пакетов в определенное время суток. По умолчанию время интерпретируется как UTC.

`cronjob`

Поддерживаемые значения: допустимое выражение cron в синтаксисе cron или естественном выражении.

Примеры: , 0 9 * * *``every day at 5pm

          `0 9 * * *` эквивалентен "каждый день в 9 утра". 
          `every day at 5pm` эквивалентна `0 17 * * *`.

Примечание.

Часовые пояса должны быть указаны в параметре timezone , а не в cronjob.
Для cronjob использования интервала cron требуется расписание типов.

YAML

# Basic `dependabot.yml` file for cronjob

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates based on `cronjob` value
    schedule:
      interval: "cron"
      cronjob: "0 9 * * *"


# Basic `dependabot.yml` file for cronjob

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates based on `cronjob` value
    schedule:
      interval: "cron"
      cronjob: "0 9 * * *"

`timezone`

Укажите часовой пояс для time значения. По умолчанию часовой пояс — UTC.

Идентификатор часового пояса должен соответствовать часовой поясу в базе данных, поддерживаемой iana, см . список часовых поясов базы данных tz.

          `target-branch` <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions icon" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg>

Определите конкретную ветвь для проверки обновлений версий и целевых запросов на вытягивание обновлений версий. Примеры см. в разделе Настройка запросов на вытягивание зависимостей для соответствия вашим процессам.

Поведение по умолчанию Dependabot

Dependabot использует ветвь по умолчанию для репозитория, см. сведения о ветвь по умолчанию.

При target-branch определении:

Для обновления версий проверяются только файлы манифеста в целевой ветви.
Все запросы на вытягивание обновлений версий открываются для указанной ветви.
Параметры, определенные для этогоpackage-ecosystem, больше не применяются к обновлениям системы безопасности, так как обновления безопасности всегда используют ветвь по умолчанию для репозитория.

          `exclude-paths` <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions icon" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg>

Используется для указания путей каталогов и файлов, которые Dependabot следует игнорировать при сканировании манифестов и зависимостей. Этот параметр полезен, если требуется предотвратить обновления зависимостей в определенных расположениях, таких как тестовые ресурсы, поставщик кода или определенные файлы.

Поведение по умолчанию Dependabot

Все каталоги и файлы в указанном параметре directory включаются в проверку обновления, если этот параметр не исключен.

При exclude-paths определении:

Все файлы и каталоги, соответствующие указанным путям, игнорируются во время проверки обновлений для указанной package-ecosystem записи.

Параметр	Цель
`exclude-paths`	Список шаблонов глобов для файлов или каталогов, которые следует игнорировать.

Поддерживаются шаблоны glob, такие как ** рекурсивное сопоставление и * подстановочные знаки с одним сегментом. Шаблоны относятся к указанному directory для конфигурации обновления. Каждая экосистема может иметь собственные exclude-paths параметры.

Example

YAML

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    exclude-paths:
      - "src/test/assets"
      - "vendor/**"
      - "src/*.js"
      - "src/test/helper.js"

# Sample patterns that can be used-

# Pattern: docs/*.json
# Matches: docs/foo.json, docs/bar.json

# Pattern: *.lock
# Matches: Gemfile.lock, package.lock, foo.lock (in any directory)

# Pattern: test/**
# Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt

# Pattern: config/settings.yml
# Matches: config/settings.yml

# Pattern: **/*.md
# Matches: README.md, docs/guide.md, any/depth/file.md

# Pattern: src/*
# Matches: src/main.rb, src/app.js
# Does NOT match: src/utils/helper.rb

# Pattern: hidden/.*
# Matches: hidden/.env, hidden/.secret

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    exclude-paths:
      - "src/test/assets"
      - "vendor/**"
      - "src/*.js"
      - "src/test/helper.js"

# Sample patterns that can be used-

# Pattern: docs/*.json
# Matches: docs/foo.json, docs/bar.json

# Pattern: *.lock
# Matches: Gemfile.lock, package.lock, foo.lock (in any directory)

# Pattern: test/**
# Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt

# Pattern: config/settings.yml
# Matches: config/settings.yml

# Pattern: **/*.md
# Matches: README.md, docs/guide.md, any/depth/file.md

# Pattern: src/*
# Matches: src/main.rb, src/app.js
# Does NOT match: src/utils/helper.rb

# Pattern: hidden/.*
# Matches: hidden/.env, hidden/.secret

В этом примере Dependabot будет игнорировать src/test/assets каталог, все файлы в папке vendor/, все файлы JavaScript непосредственно под src/, а также конкретный файл src/test/helper.js при сканировании обновлений.

          `vendor` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Поддерживается только: bundler и gomod только.

Сообщите Dependabot для поддержания зависимостей поставщика, а также зависимостей, определенных файлами манифеста. Зависимость описывается как "поставщик" или "кэширована" при хранении кода в репозитории, смbundle cache.

Примеры см. в разделе Управление обновлениями зависимостей с помощью Dependabot.

Поведение по умолчанию Dependabot

Сохраняйте только зависимости, записанные в манифесте и файлах блокировки, определенных для bundler.
Вызов запросов на обновление безопасности и версий, которые обновляют номера версий, записанные в файлах манифеста и блокировки.
Для модулей Go все поставщики зависимостей автоматически идентифицируются и поддерживаются так, как если бы vendor он был включен.

Если vendor включена:

Dependabot также поддерживает зависимости для пакета, хранящихся в каталоге _vendor/cache_ в репозитории.
Запросы на вытягивание иногда содержат обновления зависимостей, хранящихся в репозитории.

Поддерживаемые значения: true или false

          `versioning-strategy` <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield check icon" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>

Поддерживается: bundler, cargo, composer, mix, npm``pip``pubи uv других %} Поддерживается: bundler, cargo, composer, mix``npm``pip, , и pub

Определите, как Dependabot должен изменять файлы манифеста. Примеры см. в разделе Управление обновлениями зависимостей с помощью Dependabot.

Поведение по умолчанию Dependabot

Попробуйте различать зависимости приложений и библиотек.
Для приложений всегда увеличьте минимальное требование к версии, чтобы соответствовать новой версии. Стратегия increase .
Для библиотек расширяйте требования к разрешенной версии, чтобы включить как новые, так и старые версии, когда это возможно. Стратегия widen .

При versioning-strategy определении Dependabot использует указанную стратегию.

Ценность	Поведение
`auto`	Поведение по умолчанию.
`increase`	Всегда увеличьте минимальное требование к версии, чтобы соответствовать новой версии. Если диапазон уже существует, обычно это только увеличивает нижнюю границу.
`increase-if-necessary`	Оставьте требование версии без изменений, если она уже разрешает новый выпуск (Dependabot по-прежнему обновляет разрешенную версию). В противном случае расширение требования.
`lockfile-only`	Создавать запросы на вытягивание только для обновления файлов блокировки. Пропускать все новые версий, для которых требуются изменения манифеста пакета.
`widen`	Расширяйте допустимые требования к версии для включения новых и старых версий, когда это возможно. Как правило, это увеличивает только максимально допустимое требование версии.

Например, если текущая версия и 1.0.0 текущее ограничение является ^1.0.0 различными стратегиями, будет вызывать следующие обновления:

Новая версия 1.2.0

        `increase`: новое ограничение `^1.2.0`

        `increase-if-necessary`: новое ограничение `^1.0.0`

        `widen`: новое ограничение `^1.0.0`

Новая версия 2.0.0

        `increase`: новое ограничение `^2.0.0`

        `increase-if-necessary`: новое ограничение `^2.0.0 `

        `widen`: новое ограничение `>=1.0.0 <3.0.0`

Примечание.

Если используемый диспетчер пакетов еще не поддерживает настройку versioning-strategy параметра или не поддерживает нужное значение. Код стратегии open source, поэтому если вы хотите, чтобы определённая экосистема поддерживала новую стратегию, вы всегда можете отправить pull request в https://github.com/dependabot/dependabot-core/.

Теги управления версиями

Представляет этапы жизненного цикла выпуска программного обеспечения, такие как альфа, бета-версия и стабильные версии.
Позволяет издателям более эффективно распространять свои пакеты.
Укажите стабильность версии и сообщите, какие пользователи должны ожидать с точки зрения функций и стабильности.

Dependabot распознает различные теги управления версиями для предварительных выпусков, стабильных версий и пользовательских тегов в разных экосистемах.

Файл dependabot.yml не управляет тегами управления версиями, которые можно использовать, но можно определить в параметрах конфигурации, таких как ignore поддерживаемые теги управления версиями, для которого требуется игнорировать обновления.

Поддерживаемые теги управления версиями

| Диспетчер пакетов | Значение YAML | Поддерживаемые теги | Примеры | |---------------------|----------------|--------------------|--------------| | Maven | maven | alpha, a, beta, b, milestone, m, rc, cr, sp, ga, final, release, snapshot | [email protected], [email protected] | | npm | npm | alpha, beta, canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable | lodash@beta, , react@latest``express@next | | pnpm | npm | alpha, beta, canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable | [email protected], , react@alpha``vue@next | | yarn | npm | alpha, beta, canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable | [email protected], , axios@latest``moment@nightly |

Глоссарий тегов управления версиями

        **
        `alpha`:** ранняя версия может быть нестабильной и иметь неполные функции.

        **
        `beta`:** более стабильным, чем альфа- но может по-прежнему иметь ошибки.

        **
        `canary`:** регулярно обновляется предварительная версия для тестирования.

        **
        `dev`:** представляет версии разработки.

        **
        `experimental`:** версии с экспериментальными функциями.

        **
        `latest`:** последний стабильный выпуск.

        **
        `legacy`:** старые или устаревшие версии.

        **
        `next`:** предстоящая версия выпуска.

        **
        `nightly`:** версии, созданные ночью; часто включают последние изменения.

        **
        `rc`:** кандидат выпуска, близкий к стабильному выпуску.

        **
        `release`:** официальная версия выпуска.

        **
        `stable`:** самая надежная, готовая к работе версия.

Ключ верхнего уровня `registries`

Укажите сведения о проверке подлинности, которые Dependabot могут использовать для доступа к реестрам частных пакетов, включая реестры, размещенные GitLab или Bitbucket.

Примечание.

Частные реестры за брандмауэрами в частных сетях поддерживаются для следующих экосистем:

Средство увязки программ в пакеты
Груз
Докер
Gradle (Грэйдл)
Мейвен
Npm
NuGet
Кабак
Python
Yarn

Значение ключа registries является ассоциативным массивом, каждый элемент которого состоит из ключа, определяющего конкретный реестр, и значения, являющегося ассоциативным массивом, которое указывает параметры, необходимые для доступа к реестру. dependabot.yml Следующий файл настраивает реестр, определенный как dockerhub в registries разделе файла, а затем ссылается на этот файл в updates разделе файла.

YAML

# Minimal settings to update dependencies stored in one private registry

version: 2
registries:
  dockerhub: # Define access for a private registry
    type: docker-registry
    url: registry.hub.docker.com
    username: octocat
    password: ${{secrets.DOCKERHUB_PASSWORD}}
updates:
  - package-ecosystem: "docker"
    directory: "/docker-registry/dockerhub"
    registries:
      - dockerhub # Allow version updates for dependencies in this registry
    schedule:
      interval: "monthly"

# Minimal settings to update dependencies stored in one private registry

version: 2
registries:
  dockerhub: # Define access for a private registry
    type: docker-registry
    url: registry.hub.docker.com
    username: octocat
    password: ${{secrets.DOCKERHUB_PASSWORD}}
updates:
  - package-ecosystem: "docker"
    directory: "/docker-registry/dockerhub"
    registries:
      - dockerhub # Allow version updates for dependencies in this registry
    schedule:
      interval: "monthly"

Для указания параметров доступа используются следующие параметры. Параметры реестра должны содержать type и url, а также, как правило, либо сочетание username и password, либо token.

Параметры	Характер использования
`REGISTRY_NAME`	**** Обязательный: определяет идентификатор реестра.
`type`	**** Обязательный: определяет тип реестра.
Подробные сведения о проверке подлинности	**** Обязательный: параметры, поддерживаемые для предоставления сведений о проверке подлинности, зависят от реестров разных типов.
`url`	**** Обязательный: URL-адрес, используемый для доступа к зависимостям в этом реестре. Протокол указывать необязательно. Если этот параметр не задан, для него предполагается значение `https://`. Dependabot добавляет или пропускает конечные косые черты по мере необходимости.
`replaces-base`	Если логическое значение равно `true`, Dependabot разрешает зависимости, используя указанный `url` , а не базовый URL-адрес этой экосистемы.

Подробные сведения о доступных вариантах, а также рекомендации и советы по настройке частных реестров см. в разделе Руководство по настройке частных реестров для Dependabot.

          `type` и сведения о проверке подлинности

Параметры, используемые для предоставления сведений о проверке подлинности для доступа к частному реестру, зависят от реестра type.

Регистратура `type`	Обязательные параметры проверки подлинности
`cargo-registry`	`token`
`composer-repository`

          `username` и `password`.<br>или OIDC с `tenant-id` и `client-id` |

Все конфиденциальные данные, используемые для проверки подлинности, должны храниться безопасно и ссылаться на нее из этого безопасного расположения, см. в разделе Настройка доступа к частным реестрам для Dependabot.

Совет

Если учетная запись является учетной записью GitHub, вместо пароля можно использовать GitHub personal access token вместо пароля.

Для получения дополнительной информации о поддержке OIDC для Dependabot см. OpenID Connect и Настройка доступа к частным реестрам для Dependabot.

          `url` и `replaces-base`.

Параметр url определяет, где получить доступ к реестру. Если необязательный replaces-base параметр включен (true), Dependabot разрешает зависимости, используя значение url , а не базовый URL-адрес этой конкретной экосистемы.

Справочник по параметрам зависимостей

Кто может использовать эту функцию?

В этой статье