关于 Actions 的 Dependabot 版本更新
Actions 经常会更新错误修复和新功能,以使自动化流程更可靠、更快、更安全。启用 GitHub Actions 的 Dependabot 版本更新后,Dependabot 将帮助确保代码库的 *workflow.yml* 文件中对 Actions 的引用以及工作流内部使用的可重用工作流保持最新。
对于文件中的每个 Action,Dependabot 会将 Action 的引用(通常是与 Action 关联的版本号或提交标识符)与最新版本进行比较。有关 Action 创建者如何为其 Action 指定版本的更多信息,请参阅“为自定义 Actions 使用发行版管理”。
如果可用的 Action 版本更新,Dependabot 将向您发送一个拉取请求,该请求将工作流文件中的引用更新到最新版本。有关 Dependabot 版本更新的更多信息,请参阅“关于 Dependabot 版本更新”。有关配置 GitHub Actions 工作流的更多信息,请参阅“编写工作流”。
Dependabot 还检查工作流文件是否使用了可重用的工作流,并更新这些调用的可重用工作流的 git 引用。有关可重用工作流的更多信息,请参阅“重用工作流”。
注意
Dependabot 拉取请求触发的 Workflow 运行就像来自派生代码库一样运行,因此使用只读的 GITHUB_TOKEN。这些工作流运行无法访问任何机密信息。有关保持这些工作流安全的策略信息,请参阅“GitHub Actions 的安全强化”。
启用 Actions 的 Dependabot 版本更新
您可以配置 Dependabot 版本更新以维护您的 Actions 以及您依赖的库和包。
- 如果您已经为其他生态系统或包管理器启用了 Dependabot 版本更新,只需打开现有的
dependabot.yml文件。否则,请在代码库的.github目录中创建一个dependabot.yml配置文件。更多信息,请参考“配置 Dependabot 版本更新”。 - 指定
"github-actions"作为要监控的package-ecosystem。 - 将
directory设置为"/"以检查.github/workflows中的工作流文件。 - 设置
schedule.interval以指定检查新版本的频率。 - 将
dependabot.yml配置文件检入代码库的.github目录。如果您已编辑现有文件,请保存更改。
您也可以在派生代码库上启用 Dependabot 版本更新。更多信息,请参考“配置 Dependabot 版本更新”。
GitHub Actions 的 dependabot.yml 文件示例
下面的 dependabot.yml 文件示例配置了 GitHub Actions 的版本更新。必须将 directory 设置为 "/" 以检查 .github/workflows 中的工作流文件。schedule.interval 设置为 "weekly"。检入或更新此文件后,Dependabot 将检查您的 Actions 的新版本。Dependabot 将为其找到的任何过时的 Actions 提出版本更新的拉取请求。在初始版本更新之后,Dependabot 将每周继续检查 Actions 的过时版本。
# Set update schedule for GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every week
interval: "weekly"
配置 Actions 的 Dependabot 版本更新
启用 Actions 的 Dependabot 版本更新时,必须为 package-ecosystem、directory 和 schedule.interval 指定值。您可以设置许多其他可选属性以进一步自定义您的版本更新。更多信息,请参考“dependabot.yml 文件的配置选项”。
进一步阅读
- “编写工作流”