Informationen zu Pullanforderungen von Dependabot

Verstehen Sie die Häufigkeit und Anpassungsmöglichkeiten von Pull-Requests für Versions- und Sicherheitsupdates.

In diesem Artikel

Pullanforderungen für Sicherheitsupdates

Wenn Sie Sicherheitsupdates aktiviert haben, werden Pull-Anfragen für Sicherheitsupdates durch eine Dependabot-Benachrichtigung aufgrund einer Abhängigkeit in Ihrem Standardzweig ausgelöst. Dependabot löst automatisch eine Pull Request aus, um die anfällige Abhängigkeit zu aktualisieren.

Jeder Pull Request enthält alles, was du brauchst, um einen vorgeschlagenen Fix schnell und sicher zu überprüfen und mit deinem Projekt zu mergen. Dazu gehören Informationen zum Sicherheitsrisiko wie Versionshinweise, Änderungsprotokolleinträge und Commitdetails. Details dazu, welches Sicherheitsrisiko durch einen Pull Request behoben wird, sind für alle Benutzer ausgeblendet, die nicht über Zugriff auf Dependabot alerts-Warnungen für das Repository verfügen.

Wenn du einen Pull Request mergst, der ein Sicherheitsupdate enthält, wird die entsprechende Dependabot-Warnung für dein Repository als aufgelöst markiert. Weitere Informationen zu Dependabot-Pull Requests finden Sie unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Hinweis

Es empfiehlt sich, automatisierte Tests und Abnahmeprozesse einzurichten, damit Überprüfungen durchgeführt werden, bevor der Pull Request zusammengeführt wird. Das ist besonders wichtig, wenn die vorgeschlagene Version, auf die du ein Upgrade durchführen möchtest, zusätzliche Funktionalität oder Breaking Changes enthält. Weitere Informationen zu Continuous Integration (CI) findest du unter Continuous Integration.

Anpassen von Pullanforderungen für Sicherheitsupdates

Sie können anpassen, wie Dependabot Pull-Anfragen für Sicherheitsupdates generiert, sodass diese optimal zu den Sicherheitsprioritäten und -prozessen Ihres Projekts passen. Beispiel: * Optimiere Dependabot-Pull-Requests, um wichtige Updates zu priorisieren, indem Sie mehrere Updates in einem einzelnen Pull Request gruppieren.

  • Wenden Sie benutzerdefinierte Labels an, um Dependabot-Pullanforderungen in Ihre vorhandenen Workflows zu integrieren.

Ähnlich wie bei Versionsupdates werden Anpassungsoptionen für Sicherheitsupdates in der dependabot.yml-Datei definiert. Wenn Sie die dependabot.yml für Versionsaktualisierungen bereits angepasst haben, dann könnten viele der von Ihnen definierten Konfigurationsoptionen auch automatisch auf Sicherheitsaktualisierungen angewendet werden. Es gibt jedoch einige wichtige Punkte zu beachten:

  • Dependabot security updates werden immer durch eine Sicherheitsempfehlung ausgelöst, nicht dem schedule entsprechend, die Sie in dependabot.yml für Versionsupdates festgelegt haben.
  • Dependabot löst Pull Requests für Sicherheitsupdates nur für den Standardbranch aus. Wenn deine Konfiguration einen Wert für target-branch festlegt, gilt die Anpassung für dieses Paketökosystem standardmäßig nur für Versionsupdates.

Weitere Informationen finden Sie unter Anpassen von Pull Requests für Dependabot-Sicherheitsupdates.

Pullanforderungen für Versionsupdates

Für Versionsupdates geben Sie an, wie oft jedes Ökosystem auf neue Versionen in der Konfigurationsdatei überprüft werden soll: täglich, wöchentlich oder monatlich.

Beim ersten Aktivieren der Versionsaktualisierung sind möglicherweise viele Abhängigkeiten veraltet, und einige hinken der aktuellen Version um mehrere Versionen hinterher. Dependabot führt sofort nach der Aktivierung eine Überprüfung auf veraltete Abhängigkeiten durch. Abhängig davon, für wie viele Manifestdateien du Updates konfigurierst, werden dir möglicherweise schon wenige Minuten nach dem Hinzufügen der Konfigurationsdatei neue Pull Requests für Versionsaktualisierungen angezeigt. Dependabot führt auch bei späteren Änderungen an der Konfigurationsdatei eine Aktualisierung durch.

Damit die Pull Requests überschaubar bleiben und leicht überprüft werden können, löst Dependabot maximal fünf Pull Requests aus, um die Abhängigkeiten an die neueste Version anzupassen. Wenn einige der ersten Pull Requests vor der nächsten geplanten Aktualisierung gemergt werden, werden die verbleibenden Pull Requests beim nächsten Update geöffnet, bis zu diesem Höchstwert. Du kannst die maximale Anzahl offener Pull Requests ändern, indem du die open-pull-requests-limit-Konfigurationsoption festlegst.

Um die Anzahl von Pull Requests weiter zu verringern, kannst du mithilfe der Konfigurationsoption groups Abhängigkeiten (pro Paketökosystem) in Gruppen zusammenfassen. Dependabot löst dann einen einzigen Pull Request aus, um möglichst viele Abhängigkeiten in der Gruppe gleichzeitig auf die neuesten Versionen zu aktualisieren. Weitere Informationen finden Sie unter Optimieren der Erstellung von Pull Requests für Versionsupdates von Dependabot.

Befehle für Dependabot Pull-Requests

Dependabot reagiert auf einfache Befehle in Kommentaren. Jeder Pull Request enthält Details der Befehle, die du verwenden könntest, um den Pull Request zu verarbeiten (z. B. Mergen, Squashen, erneutes Öffnen, Schließen des Pull Requests oder Ausführen eines Rebase für den Pull Request) unter dem Abschnitt „Dependabot-Befehle und -Optionen“. Du sollst diese automatisch generierten Pull Requests so einfach wie möglich selektieren können. Weitere Informationen finden Sie unter Befehle zum Abrufen von Dependabot-Abrufanforderungskommentaren.