关于 Dependabot 版本更新

Dependabot 免除您维护依赖项的工作量。您可以使用它确保您的仓库自动跟进其依赖的包和应用程序的最新发布。

当 Dependabot 发起拉取请求时，这些请求可能是针对安全或版本更新的。

Dependabot 安全更新 是自动化的拉取请求，帮助您更新存在已知漏洞的依赖项。
Dependabot 版本更新 是自动化的拉取请求，即使依赖项没有任何漏洞，也会保持其已更新。要检查版本更新的状态，请前往仓库的 Insights（洞察）选项卡，然后选择 Dependency Graph（依赖图），再选择 Dependabot。

通过在仓库中加入 dependabot.yml 配置文件，即可启用 Dependabot 版本更新。

Dependabot 及所有相关功能均受 GitHub 服务条款的约束。

包的更新

dependabot.yml 配置文件指定了清单文件或其他包定义文件在仓库中的位置。Dependabot 使用这些信息来检查過時的包和应用程序。Dependabot 通过查看依赖项的语义化版本（semver）来判断是否存在新版本，并决定是否进行更新。有关受支持的仓库和生态系统的信息，请参阅 Dependabot 支持的生态系统和仓库。

dependabot.yml 文件还可以配置，以告知 Dependabot 如何维护您的依赖项。欲了解更多信息，请参阅关于 dependabot.yml 文件。

对于某些包管理器，Dependabot 版本更新也支持 vendoring（供应）。Vendored（或缓存）的依赖项指的是被检入仓库特定目录的依赖项，而不是在清单中引用。当包服务器不可用时，这些依赖项仍可在构建时使用。Dependabot 版本更新可以配置为检查 vendored 依赖项的新版本，并在必要时进行更新。

当 Dependabot 识别到过时的依赖项时，会发起拉取请求以将清单更新到最新版本。对于 vendored 依赖项，Dependabot 会直接发起拉取请求，用新版本替换过时的依赖。您应检查测试是否通过，审阅拉取请求摘要中包含的变更日志和发行说明，然后合并。欲了解更多信息，请参阅配置 Dependabot 版本更新。

如果您启用 安全更新，Dependabot 还会发起拉取请求以更新有漏洞的依赖项。欲了解更多信息，请参阅关于 Dependabot 安全更新。

动作的更新

操作（Actions）经常会通过错误修复和新功能进行更新，以使自动化流程更可靠、更快速、更安全。当您为 GitHub Actions 启用 Dependabot 版本更新时，Dependabot 将帮助确保仓库的 workflow.yml 文件以及工作流内部使用的可复用工作流中的动作引用保持最新。

对于文件中的每个动作，Dependabot 会将动作的引用（通常是版本号或提交标识）与最新版本进行比对。如果有更新的版本可用，Dependabot 将向您发送拉取请求，将工作流文件中的引用更新为最新版本。

Dependabot 还会检查工作流文件中对可复用工作流的使用，并更新这些被调用的可复用工作流的 Git 引用。

要启用此功能，请参阅使用 Dependabot 保持您的动作最新。

关于 Dependabot 更新的自动停用

当仓库的维护者停止与 Dependabot 拉取请求交互时，Dependabot 会暂时暂停更新并通知您，详情请参阅 Dependabot 更新拉取请求不再生成。