Skip to main content

Поддержка актуальности действий с помощью Dependabot

Вы можете использовать Dependabot, чтобы обновлять используемые действия до последних версий.

Сведения об Dependabot version updates для действий

Действия часто обновляются с помощью исправлений ошибок и новых компонентов, чтобы сделать автоматизированные процессы более надежными, быстрыми и безопасными. Если включить Dependabot version updates для GitHub Actions, Dependabot поможет убедиться, что ссылки на действия в файле workflow.yml репозитория__ и повторно используемых в рабочих процессах хранятся в актуальном состоянии.

Для каждого действия в файле Dependabot проверяет ссылку на действие (обычно номер версии или идентификатор фиксации, связанный с действием) на соответствие последней версии. Сведения о том, как создатели действий версии своих действий см. в разделе "Использование управления выпусками для пользовательских действий".

Если доступна более поздняя версия действия, Dependabot отправит запрос на вытягивание, который обновляет ссылку в файле рабочего процесса до последней версии. Дополнительные сведения о Dependabot version updatesсм. в разделе "Сведения об обновлениях версий Dependabot". Дополнительные сведения о настройке рабочих процессов для GitHub Actionsсм. в разделе "Написание рабочих процессов".

Dependabot также проверяет файлы рабочих процессов для использования повторно используемых рабочих процессов и обновляет ссылку на Git для этих называемых повторно используемых рабочих процессов. Дополнительные сведения о повторно используемых рабочих процессах см. в разделе "Повторное использование рабочих процессов".

Примечание. Рабочий процесс запускается с помощью запросов на вытягивание Dependabot, как если бы они выполнялись из вилированного репозитория и поэтому используют только GITHUB_TOKENдля чтения. Этот рабочий процесс не может получить доступ к секретам. Сведения о стратегиях защиты этих рабочих процессов см. в разделе "Защита системы безопасности для GitHub Actions".

Включение Dependabot version updates для действий

Вы можете настроить Dependabot version updates для обслуживания своих действий, а также используемых библиотек и пакетов.

  1. Если вы уже включили Dependabot version updates для других экосистем или диспетчеров пакетов, просто откройте существующий dependabot.yml файл. В противном случае создайте dependabot.yml файл конфигурации в каталоге .github репозитория. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.
  2. Укажите "github-actions" в качестве package-ecosystem для отслеживания.
  3. Задайте для directory значение "/" для проверки наличия файлов рабочего процесса в .github/workflows.
  4. Задайте schedule.interval, чтобы указать периодичность проверки наличия новых версий.
  5. Проверьте файл конфигурации dependabot.yml в каталоге .github репозитория. Если вы изменили существующий файл, сохраните изменения.

Вы также можете включить Dependabot version updates для вилок. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.

Пример dependabot.yml файла для GitHub Actions

Приведенный ниже пример dependabot.yml файла настраивает обновления версий для GitHub Actions. Для directory должно быть задано значение "/" для проверки наличия файлов рабочего процесса в .github/workflows. Для schedule.interval задано значение "weekly". После того как этот файл будет возвращен или обновлен, Dependabot проверяет наличие новых версий действий. Dependabot выдаст запросы на вытягивание обновлений версий для любых устаревших действий, которые будут найдены. После обновления начальной версии Dependabot будет продолжать проверять устаревшие версии действий раз в неделю.

# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"

Настройка Dependabot version updates для действий

При включении Dependabot version updates для действий необходимо указать значения для package-ecosystem, directory и schedule.interval. Существует множество дополнительных свойств, которые можно настроить для дальнейшей настройки обновлений версий. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Дополнительные материалы