Informationen zu Dependabot version updates für Aktionen
Aktionen werden häufig mit Fehlerkorrekturen und neuen Features aktualisiert, um automatisierte Prozesse zuverlässiger, schneller und sicherer zu machen. Wenn Sie Dependabot version updates für GitHub Actions aktivieren, sorgt Dependabot dafür, dass die Verweise auf Aktionen in der Datei workflow.yml eines Repositorys und auf wiederverwendbare Workflows innerhalb von Workflows auf dem neuesten Stand bleiben.
Für jede Aktion in der Datei prüft Dependabot die Referenz der Aktion (in der Regel eine Versionsnummer oder eine Commit-Kennung, die mit der Aktion verbunden ist) mit der neuesten Version. Informationen dazu, wie Aktionsersteller ihre Aktionen versionieren, sind unter „Anwenden der Releaseverwaltung auf Ihre benutzerdefinierten Aktionen“ zu finden.
Wenn eine neuere Version der Aktion verfügbar ist, sendet Dependabot Dir eine Pull-Anforderung, die die Referenz in der Workflow-Datei auf die neueste Version aktualisiert. Weitere Informationen zu Dependabot version updates findest du unter Informationen zu Updates von Dependabot-Versionen. Weitere Informationen zum Konfigurieren eines Workflows für GitHub Actions findest du unter Schreiben von Workflows.
Dependabot überprüft auch Workflowdateien auf die Verwendung wiederverwendbarer Workflows und aktualisiert die Git-Referenz für diese sogenannten wiederverwendbaren Workflows. Weitere Informationen zu wiederverwendbaren Workflows findest du unter „Wiederverwenden von Workflows“.
Note
Die Ausführung von Workflows, die von Dependabot-Pull Requests ausgelöst werden, erfolgt wie bei einem geforkten Repository und nutzt dementsprechend ein schreibgeschütztes GITHUB_TOKEN
. Diese Workflowausführungen können nicht auf Geheimnisse zugreifen. Informationen zu Strategien zum Schützen dieser Workflows findest du unter „Sicherheitshärtung für GitHub Actions“.
Aktivieren von Dependabot version updates für Aktionen
Du kannst Dependabot version updates konfigurieren, um deine Aktionen sowie die Bibliotheken und Pakete zu verwalten, von denen du abhängig bist.
- Wenn du bereits Dependabot version updates für andere Ökosysteme oder Paket-Manager aktiviert hast, öffne einfach die bestehende
dependabot.yml
-Datei. Erstelle andernfalls die Konfigurationsdateidependabot.yml
im Verzeichnis.github
deines Repositorys. Weitere Informationen findest du unter Konfigurieren von Versionsupdates von Dependabot. - Gib
"github-actions"
alspackage-ecosystem
zu überwachen an. - Lege
directory
"/"
Kontrollkästchen für Workflowdateien in.github/workflows
fest. - Lege mit
schedule.interval
fest, wie oft nach neuen Versionen gesucht werden soll. - Überprüfe die Konfigurationsdatei dependabot.yml im
.github
-Verzeichnis des Repositorys. Wenn du eine bestehende Datei bearbeitet hast, speichere deine Änderungen.
Du kannst auch Dependabot version updates auf Forks aktivieren. Weitere Informationen findest du unter Konfigurieren von Versionsupdates von Dependabot.
Beispiel für die Datei dependabot.yml
für GitHub Actions
Die folgende Beispieldatei dependabot.yml
konfiguriert die Versionsaktualisierungen für GitHub Actions. directory
muss auf "/"
gesetzt werden, um Workflow-Dateien in .github/workflows
zu überprüfen. schedule.interval
wird auf "weekly"
festgelegt. Nachdem diese Datei eingecheckt oder aktualisiert wurde, sucht Dependabot nach neuen Versionen deiner Aktionen. Dependabot wird Pull-Anforderungen für Versionsaktualisierungen für alle veralteten Aktionen erstellen, die es findet. Nach den ersten Versionsaktualisierungen wird Dependabot weiterhin einmal wöchentlich nach veralteten Versionen von Aktionen suchen.
# Set update schedule for GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every week
interval: "weekly"
Konfigurieren von Dependabot version updates für Aktionen
Wenn du Dependabot version updates für Aktionen aktivierst, musst du Werte für package-ecosystem
, directory
, und schedule.interval
angeben. Es gibt noch viele weitere optionale Eigenschaften, die du einstellen kannst, um deine Versionsaktualisierungen weiter anzupassen. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.