О pull-запросах Dependabot

Понимайте частоту и опции настройки pull-запросов на обновления версий и безопасности.

В этой статье

Pull запросы на обновления безопасности

Если вы включили обновления безопасности, pull requests на обновления безопасности запускаются оповещением Dependabot о зависимости от вашей стандартной ветки. Dependabot автоматически создает запрос на вытягивание для обновления уязвимой зависимости.

Каждый запрос на вытягивание содержит все необходимое для быстрого и безопасного просмотра и слияния предлагаемого исправления в проект. Сюда входят сведения об уязвимости, такие как заметки о выпуске, записи журнала изменений и сведения о фиксации. Сведения от том, какую уязвимость устраняет запрос на вытягивание, скрыты от всех, кто не имеет доступа к Dependabot alerts для репозитория.

При слиянии запроса на вытягивание, содержащего обновление системы безопасности, соответствующее оповещение Dependabot помечается как разрешенное для репозитория. Дополнительные сведения о запросах на вытягивание Dependabot см. в разделе Управление запросами на вытягивание для обновлений зависимостей.

Примечание.

Рекомендуется использовать автоматизированные тесты и процессы принятия, чтобы проверки выполнялись до объединения запроса на вытягивание. Это особенно важно, если предлагаемая версия для обновления содержит дополнительные функциональные возможности или изменение, которое нарушает код проекта. Дополнительные сведения о непрерывной интеграции см. в разделе Непрерывная интеграция.

Настройка pull-запросов для обновлений безопасности

Вы можете настроить, как Dependabot вызывает запросы на вытягивание обновлений безопасности, чтобы они лучше соответствовали приоритетам и процессам безопасности проекта. Рассмотрим пример. * Оптимизируйте запросы на вытягивание Dependabot для определения приоритета значимых обновлений путем группировки нескольких обновлений в один запрос на вытягивание.

  • Применяйте пользовательские метки для интеграции pull запросов Dependabot в ваши текущие рабочие процессы.

Как и обновления версий, параметры настройки обновлений безопасности определяются в dependabot.yml файле. Если вы уже настроили dependabot.yml обновления версий, то многие из параметров конфигурации, определенных вами, также могут применяться к обновлениям системы безопасности. Однако есть несколько важных моментов, которые стоит отметить:

  • Dependabot security updates всегда активируются советом** по безопасности, а не выполняются **в соответствии schedule с заданными обновлениями dependabot.yml версий.
  • Dependabot вызывает запросы на вытягивание обновлений системы безопасности только для ветвь по умолчанию. Если ваша конфигурация задает значение target-branch, то настройка для этой экосистемы пакетов будет применяться только к обновлениям версий по умолчанию.

Дополнительные сведения см. в разделе Настройка запросов на вытягивание обновлений безопасности Dependabot.

Pull запросы на обновления версий

Для обновлений версий вы указываете, как часто проверять новые версии каждой экосистемы в конфигурационном файле: ежедневно, еженедельно или ежемесячно.

При первом включении обновлений версий может присутствовать много устаревших зависимостей, а некоторые из них могут быть устаревшими на много версий по сравнению с последней. Dependabot проверяет наличие устаревших зависимостей сразу после включения. Новые запросы на вытягивание обновлений версий могут отобразиться в течение нескольких минут после добавления файла конфигурации в зависимости от количества файлов манифеста, для которых настроены обновления. Dependabot также запустит обновление последующих изменений в файле конфигурации.

Для обеспечения управляемости запросов на вытягивание и упрощения их проверки Dependabot создает не более пяти запросов на вытягивание, чтобы приступить к обновлению зависимостей до последней версии. В случае слияния некоторых из этих первых запросов на вытягивание до следующего запланированного обновления оставшиеся запросы на вытягивание откроются в том же максимальном количестве при следующем обновлении. Вы можете изменить максимальное количество открытых запросов на вытягивание, задав параметр конфигурацииopen-pull-requests-limit.

Чтобы уменьшить количество запросов на вытягивание, которые вы видите, можно использовать groups параметр конфигурации для группирования наборов зависимостей вместе (на экосистему пакетов). Затем Dependabot создает один запрос на вытягивание, чтобы обновить столько зависимостей в группе до последних версий одновременно. Дополнительные сведения см. в разделе Оптимизация создания запросов на вытягивание обновлений версий Dependabot.

Команды для Dependabot pull requests

Dependabot отвечает на простые команды в комментариях. Каждый запрос на вытягивание содержит подробные сведения о командах, которые можно использовать для обработки запроса на вытягивание (например, для слияния, объединения, повторного открытия, закрытия или перемещения изменений из одной ветви в другую для запросов на вытягивание) в разделе "Команды и параметры Dependabot". Цель состоит в том, чтобы как можно больше упростить рассмотрение этих автоматически созданных запросов на вытягивание. Дополнительные сведения см. в разделе Команды комментариев Dependabot pull request.