您可以使用 GitHub Dependabot 来确保您使用的包更新到最新版本。

注： GitHub Dependabot 版本更新 目前处于测试阶段，可能会有变动。 要使用测试版功能，请在配置文件中登记，告诉 GitHub Dependabot 为您保留哪些依赖项。 详情请参阅“启用和禁用版本更新。”

关于 GitHub Dependabot 版本更新

GitHub Dependabot 负责维护您的依赖项。 您可以使用它来确保仓库自动跟上它所依赖的包和应用程序的最新版本。

通过将配置文件检入仓库，可启用 GitHub Dependabot 版本更新。 配置文件指定存储在仓库中的清单或其他包定义文件的位置。 Dependabot 使用此信息来检查过时的软件包和应用程序。 Dependabot 确定依赖项是否有新版本，它通过查看依赖的语义版本 (semver) 来决定是否应更新该版本。 当 Dependabot 发现过时的依赖项时，它会发起拉取请求以将清单更新到依赖项的最新版本。 检查测试是否通过，查看拉取请求摘要中包含的更改日志和发行说明，然后合并它。 更多信息请参阅“启用和禁用版本更新”。

如果启用安全更新，GitHub Dependabot 还会发起拉取请求以更新易受攻击依赖项。 更多信息请参阅“配置 GitHub Dependabot 安全更新。”

GitHub 的服务条款涵盖了GitHub Dependabot和所有相关功能。

GitHub Dependabot 拉取请求的频率

在配置文件中指定检查每个生态系统的新版本的频率：每日、每周或每月。

首次启用版本更新时，您可能有很多过时的依赖项，其中一些可能为许多落后于最新版本的版本。GitHub Dependabot启用后立即检查过时的依赖关系。 根据您配置更新的清单文件的数量，您可能会在添加配置文件后几分钟内看到新的版本更新拉取请求。

为了使拉取请求易于管理并易于查看，Dependabot最多提出五个拉取请求，以开始将依赖项升级到最新版本。如果您在下次预定更新之前合并第一批拉取请求中的一些请求，则接下来的拉取请求最多可以打开五个（您可以更改此限制）。

如果您启用了安全更新，有时会看到额外的安全更新拉取请求。 这些由默认分支上依赖项的 Dependabot 警报所触发。 GitHub Dependabot 自动提出拉取请求以更新有漏洞的依赖项。

支持的仓库和生态系统

当前，GitHub Dependabot版本更新不支持包含任何私有git依赖项或私有git注册表的清单或锁定文件。这是因为，在运行版本更新时，Dependabot必须能够从其源中解析所有依赖项，以验证版本更新是否成功。但是，如果要为依赖清单或包含私人依赖的锁定文件启用版本更新，仍可以启用Dependabot预览。

您可以为包含其中一个受支持包管理器的依赖项清单或锁定文件的仓库配置版本更新。

• Bundler: bundler
• Cargo: cargo
• Composer: composer
• Docker: docker
• Elm: elm
• Git 子模块：gitsubmodule
• GitHub 操作：github-actions
• Go 模块：gomod
• Gradle: gradle
• Maven: maven
• Mix: mix
• npm: npm
• NuGet: nuget
• pip: pip
• Terraform: terraform

如果您的仓库已使用集成进行依赖项管理，则在启用 GitHub Dependabot 前需要禁用此集成。 更多信息请参阅“关于集成”。