# Справочник по параметрам зависимостей Подробная информация обо всех опциях, которые можно использовать для настройки способов Dependabot обслуживания ваших репозиториев. В этой статье приведена справочная информация по параметрам конфигурации, доступным в `dependabot.yml` файле. Используйте эти параметры, чтобы настраивать мониторинг Dependabot упаковки экосистем, планировать обновления и создавать pull requests. Для обзора `dependabot.yml` файла и его работы смотрите [О файле dependabot.yml](/ru/code-security/concepts/supply-chain-security/about-the-dependabot-yml-file). Все опции, отмеченные иконкой, также меняют способ Dependabot создания pull-запросов на обновления безопасности, за исключением случаев, где `target-branch` это используется. ### Обязательные ключи | Key | Местоположение | Цель | | --------- | --------------- | ---- | | `version` | Верхний уровень | | ``` Dependabot Использовать синтаксис конфигурации. Всегда: `2`.| ``` \| `updates` | Верхний уровень| Раздел, в котором определяется каждый `package-ecosystem` из них для обновления.| \| [`package-ecosystem`](#package-ecosystem-) | в разделе `updates` | Определите диспетчер пакетов для обновления. | \| [ `directories` или `directory`](#directories-or-directory--) | Под каждой `package-ecosystem` записью | Определите расположение манифеста или других файлов определений для обновления. | \| [`schedule.interval`](#schedule-) | Под каждой `package-ecosystem` записью | Определите, искать ли обновления версий: `daily`, `weekly`, `monthly`, `quarterly``semiannually``yearly`, , или .`cron` | Кроме того, можно включить ключ верхнего уровня `registries` для определения сведений о доступе для частных реестров, см`registries` верхнего уровня[](#top-level-registries-key)". ```yaml copy # Basic `dependabot.yml` file with # minimum configuration for two package managers version: 2 updates: # Enable version updates for npm - package-ecosystem: "npm" # Look for `package.json` and `lock` files in the `root` directory directory: "/" # Check the npm registry for updates every day (weekdays) schedule: interval: "daily" # Enable version updates for Docker - package-ecosystem: "docker" # Look for a `Dockerfile` in the `root` directory directory: "/" # Check for updates once a week schedule: interval: "weekly" ``` Для реального примера `dependabot.yml` файла см. [Dependabotсобственный конфигурационный файл .](https://github.com/dependabot/dependabot-core/blob/main/.github/dependabot.yml) ## ``` `allow` ``` Используется для определения точного определения зависимостей, которые следует поддерживать для экосистемы пакетов. Часто используется с параметром [`ignore`](#ignore--) . Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#allowing-specific-dependencies-to-be-updated). ``` Dependabot Поведение по умолчанию: ``` * Все зависимости, явно определённые в манифесте, поддерживаются в актуальном состоянии с помощью обновлений версий. * Все зависимости, определённые в файлах блокировки с уязвимыми зависимостями, обновляются с помощью обновлений безопасности. При `allow` задании Dependabot используется следующий процесс: 1. Проверьте наличие всех явно **разрешенных** зависимостей. 2. Затем отфильтруйте все **игнорируемые** зависимости или версии. Если зависимость соответствует `allow` оператору и оператору`ignore`, он игнорируется\*\*\*\*. | Параметры | Цель | | ----------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `dependency-name` | Разрешить обновления зависимостей с соответствующими именами, при необходимости используя `*` для сопоставления ноль или более символов. | | `dependency-type` | Разрешить обновления для зависимостей определенных типов. | | | | | `update-types` | Разрешить обновления одного или нескольких уровней семантического версионирования. Поддерживаемые значения: `version-update:semver-patch`, `version-update:semver-minor`и `version-update:semver-major`. | | | | ### ``` `dependency-name` (`allow`) ``` Для большинства диспетчеров пакетов необходимо определить значение, соответствующее имени зависимости, указанному в файле блокировки или манифеста. Некоторые системы имеют более сложные требования. | Диспетчер пакетов | Обязательный формат | Example | | ---------------------------- | ---------------------- | ------------------------------------------------------------------------------------------------------------------------------------------ | | Gradle и Maven | `groupId:artifactId` | `org.kohsuke:github-api` | | Docker для тегов изображений | Полное имя репозитория | Для тега `.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`изображения используйте `base/foo/bar/ruby`. | ### ``` `dependency-type` (`allow`) ``` | Типы зависимостей | Поддерживаемые диспетчерами пакетов | Разрешить обновления | | ----------------- | ----------------------------------- | ---------------------------------- | | `direct` | All | Все явно определенные зависимости. | | `indirect` | | | ``` `bundler`, `pip`, `composer`, `cargo`, `gomod`, `uv` | Зависимости прямых зависимостей (также известные как подзависимости или транзитивные зависимости).| ``` \| `all` | All | Все явно определенные зависимости. Для `bundler`, `pip`, `composer`,`cargo``gomod``uv` также зависимости прямых зависимостей.| \| `production` | `bundler`, `composer`, `mix`, `maven``npm`, `pip`, , ( `uv` не все менеджеры) | Только для зависимостей, определенных диспетчером пакетов в качестве рабочих зависимостей. | \| `development`| `bundler`, `composer`, `mix`, `maven``npm`, `pip`, , ( `uv` не все менеджеры) | Только для зависимостей, определенных диспетчером пакетов в качестве зависимостей разработки. | ### ``` `update-types` (`allow`) `update-types` Влияет только на _обновления версий_ , а не _на обновления безопасности_. ``` Укажите, какие семантические версии (SemVer) разрешать. SemVer является принятым стандартом для определения версий программных пакетов в форме `x.y.z`. Dependabot предполагает, что версии в этой форме всегда `major.minor.patch`являются . Значение `update-types` представляет собой список одной или нескольких строк. * Используйте `version-update:semver-patch` для разрешения релизов патчей. * Используйте `version-update:semver-minor` для разрешения незначительных релизов. * Используйте `version-update:semver-major` для разрешения крупных релизов. Если `update-types` в правиле `allow` исключено, разрешены все типы обновлений для этого правила. Вы можете объединять `update-types` с `dependency-name` разрешёнными обновлениями или `dependency-type` ещё больше сузить. Примеры того, как можно объединить эти опции, см. [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/controlling-dependencies-updated#allowing-specific-semantic-versioning-levels-for-updates). ## ``` `assignees` ``` Укажите отдельные назначаемый объект для всех запросов на вытягивание, поднятых для экосистемы пакетов. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot Поведение по умолчанию: ``` * Запросы на вытягивание создаются без назначаемого пользователя. При `assignees` определении: * Все pull-запросы на обновления версий создаются с выбранными присваивателями. * Все pull-запросы на обновления безопасности создаются с выбранными присваивателями, если `target-branch` только не определяется обновление для нестандартной ветки. Назначаемы должны иметь доступ на запись в репозиторий. Для репозиториев, принадлежащих организации, члены организации с доступом на чтение также являются допустимыми назначаемыми. ## ``` `commit-message` ``` Определите формат для сообщений фиксации. Так как заголовки запросов на вытягивание записываются на основе сообщений о фиксации, этот параметр также влияет на заголовки запросов на вытягивание. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot Поведение по умолчанию: ``` * Фиксация сообщений соответствует аналогичным шаблонам, обнаруженным в репозитории. При `commit-message` определении: * Все коммит-сообщения следуют определённому шаблону. * Все коммит-сообщения следуют определённому шаблону, если только `target-branch` не обновляется в нестандартную ветку. | Параметры | Цель | | -------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------- | | `prefix` | Определяет префикс для всех сообщений фиксации и заголовков запросов на вытягивание. | | `prefix-development` | В поддерживаемых системах определяет другой префикс, используемый для фиксаций, которые обновляют зависимости в группе зависимостей разработки. | | `include` | Следуйте префиксу сообщения фиксации с дополнительными сведениями. | > \[!TIP] > Когда запросы на вытягивание создаются для группированных обновлений, имя ветви и название запроса на вытягивание определяются группой`IDENTIFIER`, см. в разделе`groups`[](#groups--) . ### `prefix` * Используется для всех сообщений фиксации, если `prefix-development` не определено. * Значение может составлять до 50 символов. * Dependabot вставляет двоеточие после префикса перед добавлением основного сообщения фиксации, когда значение заканчивается буквой, цифрой, закрывающей скобкой или заключительной скобкой. * Завершите значение символом пробела, чтобы остановить добавление двоеточия. ### `prefix-development` Поддерживается: `bundler`, `composer`, `mix`, `maven`, `npm``pip`, , и `uv`. * Используется только для сообщений фиксации, обновляющих зависимости в группе зависимостей разработки. * В противном случае параметр ведет себя точно так же, как `prefix` и параметр. ### `include` * Поддерживает только значение `scope` * При определении любого префикса следует тип зависимостей, обновленных в фиксации: `deps` или `deps-dev`. ## ``` `cooldown` **Определяет период** охлаждения для обновлений зависимостей, что позволяет отложить обновления в течение настраиваемого количества дней. Эта `cooldown` опция доступна только для обновлений _версий_ , но не для _обновлений безопасности_ . ``` Эта функция позволяет пользователям настраивать частоту Dependabot генерации обновлений новых версий, обеспечивая больший контроль над частотой обновлений. Примеры см. в разделе [Оптимизация создания запросов на вытягивание обновлений версий Dependabot](/ru/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates#setting-up-a-cooldown-period-for-dependency-updates). ``` Dependabot Поведение по умолчанию: ``` * Проверьте наличие обновлений в соответствии с запланированным путем `schedule.interval`. * Рассмотрите все новые версии немедленно\*\* для обновлений\*\*. При **`cooldown`** определении: 1. ``` Dependabot Проверяет наличие обновлений в соответствии с определёнными `schedule.interval` настройками. ``` 2. ``` Dependabot Проверяет настройки перезарядки. ``` 3. Если новый релиз зависимости соответствует периоду восстановления, Dependabot пропускает обновление версии для этой зависимости. 4. Зависимости без периода охлаждения или тех, кто за прошлый период охлаждения, обновляются до последней версии в соответствии с настроенным `versioning-strategy` параметром. 5. После окончания перезарядки зависимости Dependabot обновляется по стандартной стратегии обновления, определённой в `dependabot.yml`. ### ``` **Конфигурация `cooldown`** ``` Можно указать длительность охлаждения, используя приведенные ниже параметры. | Параметр | Description | | -------------- | ----------- | | `default-days` | | ``` **Период охлаждения по умолчанию для зависимостей без определенных** правил (необязательно). | ``` \| `semver-major-days` | Период охлаждения для **обновлений** основных версий (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). | \| `semver-minor-days` | Период охлаждения для **дополнительных обновлений** версий (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). | \| `semver-patch-days` | Период охлаждения для **обновлений** версий исправлений (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). | \| `include` | Список зависимостей для **применения охлаждения** (до **150 элементов**). Поддерживает подстановочные знаки (`*`). | \| `exclude` | Список зависимостей, исключенных из прохладной очистки \*\*\*\* (до **150 элементов**). Поддерживает подстановочные знаки (`*`). | В таблице ниже показаны диспетчеры пакетов, для которых поддерживается SemVer. | Диспетчер пакетов | Поддерживается SemVer | | ------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | | | | Базель | | | | | | Средство увязки программ в пакеты | | | Булочка | | | Груз | | | Composer | | | Devcontainers | | | Докер | | | Docker Compose | | | Dotnet SDK | | | Elm | | | GitHub Actions | | | Gitsubmodule | | | Gomod (Модули Go) | | | Gradle (Грэйдл) | | | Штурвал | | | Шестнадцатеричное (шестнадцатеричное) | | | | | | Julia | | | | | | Мейвен | | | NPM и Yarn | | | NuGet | | | | | | OpenTofu | | | | | | PIP | | | Кабак | | | Swift | | | Terraform | | | УЛЬТРАФИОЛЕТОВЫЙ | | > \[!NOTE] > > * Если `semver-major-days`, `semver-minor-days`или `semver-patch-days` не определены, `default-days` параметры будут иметь приоритет для обновлений на основе охлаждения. > * Список `exclude` всегда имеет приоритет над списком `include` . Если зависимость указана в обоих списках, она **исключается из прохладной работы** и будет немедленно обновлена. ## ``` `directories` или `directory` **Обязательный параметр**. Используется для определения расположения манифестов пакета для каждого диспетчера пакетов (например, _package.json_ или _Gemfile_). Без этой информации Dependabot нельзя создавать pull requests на обновления версий. Примеры см. в разделе ["Определение нескольких расположений для файлов](/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-multiple-locations-for-manifest-files) манифеста". ``` * Используется `directory` для определения одного каталога манифестов. * Используется `directories` для определения списка нескольких каталогов манифестов. * Определите каталоги относительно корневого каталога репозитория для большинства диспетчеров пакетов. * Для GitHub Actions, используйте значение `/`. Dependabot будет искать в `/.github/workflows` каталоге, а также по `action.yml/action.yaml` файлу из корневой директории. Если необходимо использовать несколько блоков в файле конфигурации для определения обновлений для одной целевой ветви экосистемы, необходимо убедиться, что все значения уникальны и не перекрываются в каталогах. > \[!NOTE] > Ключ `directories` поддерживает глоббинг и подстановочный знак `*`. Эти функции не поддерживаются ключом `directory` . ## ``` `enable-beta-ecosystems` ``` В настоящее время не используется. ## ``` `groups` ``` Определите правила для создания одного или нескольких наборов зависимостей, управляемых диспетчером пакетов, чтобы группировать обновления в меньшее количество целевых запросов на вытягивание. Примеры см. в разделе [Оптимизация создания запросов на вытягивание обновлений версий Dependabot](/ru/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates). ``` Dependabot Поведение по умолчанию: ``` * Откройте один запрос на вытягивание для каждой зависимости, которая должна быть обновлена до более новой версии для обновлений версий и обновлений системы безопасности. Когда `groups` используется для определения правил: * Все обновления зависимостей, которые соответствуют правилу, объединяются в одном запросе на вытягивание. * Если зависимость соответствует нескольким правилам, она включена в первую группу, которая соответствует ей. * Все устаревшие зависимости, которые не соответствуют правилу, обновляются в отдельных запросах на вытягивание. | Параметры | Цель | | ------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `IDENTIFIER` | Определите идентификатор группы для использования в именах ветвей и заголовках запросов на вытягивание. Это должно начинаться и заканчиваться буквами, а также содержать буквы, каналы `\|`, подчеркивания `_`или дефисы `-`. | | `applies-to` | Укажите тип обновления, к которому применяется группа. Если не определено, по умолчанию обновляется версия. Поддерживаемые значения: `version-updates` или `security-updates`. | | `dependency-type` | Ограничить группу типом. Поддерживаемые значения: `development` или `production`. | | `exclude-patterns` | Определите один или несколько шаблонов, чтобы исключить зависимости из группы. | | | | | `group-by` | Групповые обновления в нескольких каталогах. Поддерживаемое значение: `dependency-name`. | | | | | `patterns` | Определите один или несколько шаблонов для включения зависимостей с соответствующими именами. | | `update-types` | Ограничить группу одним или несколькими уровнями семантического управления версиями. Поддерживаемые значения: `minor`, `patch`и `major`. | ### ``` `dependency-type` (`groups`) ``` Поддерживается: `bundler`, , `composer``mix`, `maven`, `npm`и `pip`. По умолчанию группа будет включать все типы зависимостей. * Используется `development` для включения только зависимостей в группу зависимостей разработки. * Используется `production` для включения только зависимостей в рабочую группу зависимостей. ### ``` `group-by` (`groups`) ``` Используйте `groups..group-by` для указания, как Dependabot групповые обновления должны быть в нескольких каталогах в монорепозитории. * **Тип:** Струна * **Принятые ценности:**`dependency-name` * **Относится к:** Конфигурации с множеством указанных каталогов При установке на `dependency-name`, Dependabot для каждого обновления зависимостей создаётся один пулл-запрос для всех указанных каталогов, а не отдельные pull requests для каждого каталога. ``` **Ограничения межкаталоговой группировки** ``` Применяя `group-by: dependency-name`, помните следующие правила. * Все каталоги должны использовать одну и ту же экосистему пакетов (например, все `npm` или все `bundler`) * **Применяется только к обновлениям версий** * Если в каталогах есть несовместимые версионные ограничения для зависимости, Dependabot создаются отдельные pull requests Для примеров использования `group-by`, см. [Оптимизация создания запросов на вытягивание обновлений версий Dependabot](/ru/code-security/tutorials/secure-your-dependencies/optimizing-pr-creation-version-updates#grouping-updates-across-directories-in-a-monorepo). ### ``` `patterns` и `exclude-patterns` (`groups`) ``` Оба варианта поддерживают использование `*` в качестве подстановочной карточки для определения совпадений с именами зависимостей. Если зависимость совпадает как с шаблоном, так и с шаблоном исключения, она исключается из группы. ### ``` `update-types` (`groups`) ``` По умолчанию группа будет включать обновления для всех семантических версий (SemVer). SemVer является принятым стандартом для определения версий программных пакетов в форме `x.y.z`. Dependabot предполагает, что версии в этой форме всегда `major.minor.patch`доступны. * Используется `patch` для включения выпусков исправлений. * Используется `minor` для включения дополнительных выпусков. * Используется `major` для включения основных выпусков. Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#specifying-the-semantic-versioning-level-to-ignore). ## ``` `ignore` ``` Используйте параметр, [`allow`](#allow--) чтобы определить точно, какие зависимости следует поддерживать для экосистемы пакетов. Dependabot проверяет все разрешённые зависимости, а затем фильтрует любые игнорированные зависимости или версии. Таким образом, зависимость, соответствующая как разрешением, так и игнорировать, будет игнорироваться. Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#ignoring-specific-dependencies). ``` Dependabot Поведение по умолчанию: ``` * Все зависимости, явно определённые в манифесте, поддерживаются в актуальном состоянии с помощью обновлений версий. * Все зависимости, определённые в файлах блокировки с уязвимыми зависимостями, обновляются с помощью обновлений безопасности. При `ignore` использовании Dependabot используется следующий процесс: 1. Проверьте наличие всех явно **разрешенных** зависимостей. 2. Затем отфильтруйте все **игнорируемые** зависимости или версии. Если зависимость соответствует `allow` оператору и оператору`ignore`, он игнорируется\*\*\*\*. | Параметры | Цель | | ----------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `dependency-name` | Игнорируйте обновления зависимостей с именами сопоставления, при необходимости используя `*` для сопоставления ноль или более символов. | | `versions` | Игнорировать определенные версии или диапазоны версий. | | `update-types` | Игнорировать обновления на одном или нескольких уровнях семантического управления версиями. Поддерживаемые значения: `version-update:semver-patch`, `version-update:semver-minor`и `version-update:semver-major`. | ### ``` `dependency-name` (`ignore`) ``` Для большинства диспетчеров пакетов необходимо определить значение, соответствующее имени зависимости, указанному в файле блокировки или манифеста. Некоторые системы имеют более сложные требования. | Диспетчер пакетов | Обязательный формат | Example | | ---------------------------- | ---------------------- | ------------------------------------------------------------------------------------------------------------------------------------------ | | Gradle и Maven | `groupId:artifactId` | `org.kohsuke:github-api` | | Docker для тегов изображений | Полное имя репозитория | Для тега `.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`изображения используйте `base/foo/bar/ruby`. | ### ``` `versions` (`ignore`) ``` Используйте для пропуска определенных версий или диапазонов версий. Если вы хотите определить диапазон, используйте стандартный шаблон для диспетчера пакетов. Рассмотрим пример. * npm: использование `^1.0.0` * Пакет: использование `~> 2.0` * Docker: использование синтаксиса версии пакета * NuGet: использование `7.*` * Maven: использование `[1.4,)` Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#ignoring-specific-versions-or-ranges-of-versions). ### ``` `update-types` (`ignore`) ``` Укажите, какие семантические версии (SemVer) следует игнорировать. SemVer является принятым стандартом для определения версий программных пакетов в форме `x.y.z`. Dependabot предполагает, что версии в этой форме всегда `major.minor.patch`являются . * Используется `version-update:semver-patch` для включения выпусков исправлений. * Используется `version-update:semver-minor` для включения дополнительных выпусков. * Используется `version-update:semver-major` для включения основных выпусков. ## ``` `insecure-external-code-execution` ``` Поддерживается: `bundler`, `mix` и `pip`. Разрешить Dependabot выполнять внешний код в манифесте во время обновлений. Примеры см. в разделе ["Разрешение выполнения](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot#allowing-external-code-execution) внешнего кода". ``` Dependabot Поведение по умолчанию: ``` * Когда вы предоставляете Dependabot доступ к одному или нескольким реестрам, внешний код автоматически отключается для защиты вашего кода от скомпрометированных пакетов. * Обновления версий могут завершиться ошибкой без возможности выполнения кода. Если вы разрешаете `insecure-external-code-execution`: * Dependabot будет выполнять код в манифесте в рамках процесса обновления версии. * Код имеет доступ только к диспетчерам пакетов в реестрах, связанных с этим `updates`параметром. Доступ к любому из реестров, определенных в конфигурации верхнего уровня `registries` , не разрешен. * Это должно обеспечить успешное обновление, но также может позволить скомпрометированному пакету украсть учетные данные или получить доступ к настроенным реестрам. Поддерживаемое значение: `allow`. ## ``` `labels` ``` Укажите собственные метки для всех запросов на вытягивание, возникающих для диспетчера пакетов. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot Поведение по умолчанию: ``` * Все запросы на вытягивание имеют `dependencies` метку. * Если вы определяете несколько диспетчеров пакетов, в каждый запрос на вытягивание добавляется дополнительная метка для экосистемы или языка. Например, `java` для обновлений Gradle и `submodules` для обновлений подмодулы Git. * Если в репозитории присутствуют метки семантической версии (SemVer), они будут применены автоматически для указания типа обновления версии (`major`, `minor`, или `patch`). * Dependabot Создайте эти стандартные метки автоматически, по мере необходимости, в вашем репозитории. При `labels` определении: * Указанные метки используются вместо меток по умолчанию. * Метки SemVer (если они присутствуют в репозитории) по-прежнему будут применяться в дополнение к любым определенным пользовательским меткам. * Если какая-либо из этих меток не определена в репозитории, она пропускается. * Вы можете отключить все метки, включая метки по умолчанию, с помощью `labels: [ ]`. Установка этого параметра также влияет на запросы на вытягивание обновлений системы безопасности для файлов манифеста этого диспетчера пакетов, если только вы не используете `target-branch` для проверки наличия обновлений версий в ветви, отличной от ветви по умолчанию. ## ``` `milestone` ``` Свяжите все запросы на вытягивание, поднятые для диспетчера пакетов, с вехой. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot Поведение по умолчанию: ``` * Не используются вехи. При `milestone` определении: * Все запросы на вытягивание диспетчера пакетов добавляются в веху. Поддерживаемое значение: числовой идентификатор вехи. > \[!TIP] > Если вы посмотрите на веху, ее идентификатором является последняя часть URL-адреса страницы, после `milestone`. Например, см[. `https://github.com///milestone/3`раздел AUTOTITLE](/ru/issues/using-labels-and-milestones-to-track-work/viewing-your-milestones-progress). ## ``` `multi-ecosystem-groups` ``` Определите группы, охватывающие несколько экосистем пакетов, чтобы получить единый Dependabot пулл-запрос, обновляющий все поддерживаемые экосистемы пакетов. Такой подход помогает сократить количество получаемых Dependabot pull requests и упростить рабочий процесс обновления зависимостей. ``` Dependabot Поведение по умолчанию: ``` * Создайте отдельные запросы на вытягивание для каждой экосистемы пакетов с обновлениями зависимостей. Когда `multi-ecosystem-groups` используется: * Обновления в нескольких экосистемах пакетов в одной группе объединяются в один запрос на вытягивание. * Группы имеют собственные расписания и могут наследовать или переопределять отдельные параметры экосистемы. ### `multi-ecosystem-group` Назначьте экосистемы отдельных пакетов группе с несколькими экосистемами с помощью `multi-ecosystem-group` параметра в `updates` конфигурации. > \[!IMPORTANT] > Обновления с несколькими экосистемами требуют определенных шаблонов конфигурации и имеют уникальное поведение объединения параметров. Полные инструкции по настройке, примеры конфигурации и подробные справочники по параметрам см. в разделе [Настройка обновлений с несколькими экосистемами для Dependabot](/ru/code-security/tutorials/secure-your-dependencies/configuring-multi-ecosystem-updates). ```yaml copy # Basic `dependabot.yml` file defining a multi-ecosystem-group version: 2 multi-ecosystem-groups: infrastructure: schedule: interval: "weekly" updates: - package-ecosystem: "docker" directory: "/" patterns: ["nginx", "redis"] multi-ecosystem-group: "infrastructure" - package-ecosystem: "terraform" directory: "/" patterns: ["aws"] multi-ecosystem-group: "infrastructure" ``` ## ``` `open-pull-requests-limit` ``` Измените ограничение на максимальное количество запросов на вытягивание обновлений версий, открытых в любое время. ``` Dependabot Поведение по умолчанию: ``` * Если открыты пять запросов на вытягивание с обновлениями версий, дальнейшие запросы на вытягивание не создаются до тех пор, пока некоторые из этих открытых запросов не будут объединены или закрыты. * Обновления системы безопасности имеют отдельный внутренний предел в десять открытых запросов на вытягивание, которые нельзя изменить. При `open-pull-requests-limit` определении: * Dependabot открывает pull requests до определённого целочисленного значения. Можно задать большое значение, чтобы эффективно убрать лимит на открытые запросы на вытягивание. * Вы можете временно отключить обновления версий для менеджера пакетов, установив эту опцию на ноль, см. [Отключение Dependabot version updates](/ru/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#disabling-dependabot-version-updates). ## ``` `package-ecosystem` ``` ``` **Обязательный параметр.** Определите один `package-ecosystem` элемент для каждого менеджера пакетов, который вы хотите Dependabot отслеживать для новых версий. Репозиторий также должен содержать манифест зависимостей или файл блокировки для каждого диспетчера пакетов, см [. пример `dependabot.yml` файла](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-dependabotyml-file). ``` | Диспетчер пакетов | Значение YAML | Поддерживаемые версии | | --------------------------------- | ------------- | :-------------------: | | | | | | Базель | `bazel` | v7, v8, v9 | | | | | | | | | | Булочка | `bun` | >=v1.2.5 | | | | | | Средство увязки программ в пакеты | `bundler` | | ``` v2 | ``` \| Груз | `cargo` | версия 1 | \| Composer | `composer` | версия 2 | \| | \| Conda | `conda` | Неприменимо | \| | \| Контейнеры разработки | `devcontainers` | Неприменимо | \| Докер | `docker` | версия 1 | \| | \| Docker Compose | `docker-compose` | Версии 2, 3 | \| | \| | \| пакет SDK .NET | `dotnet-sdk` | >=.NET Core 3.1 | \| | \| | \| Диаграммы Helm | `helm` | версия 3 | \| | \| Hex | `mix` | версия 1 | \| | \| Julia | `julia` | >=v1.10 | \| | \| Пакет ELM | `elm` | Версия 0.19 | \| Субмодуль Git | `gitsubmodule` | Неприменимо | \| GitHub Actions | `github-actions` | Неприменимо | \| Модули Go | `gomod` | версия 1 | \| Gradle (Грэйдл) | `gradle` | Неприменимо | \| Мейвен | `maven` | Неприменимо | \| | \| Никс-флейки | `nix` | Неприменимо | \| | \| npm | `npm` | v7, v8, v9, v10 | \| NuGet | `nuget` | <=6.12.0 | \| | \| OpenTofu | `opentofu` | Неприменимо | \| | \| пит | `pip` | 24,2 | \| pip-compile | `pip` | 7.5.3 | \| pipenv | `pip` | <= 2024.4.1 | \| pnpm | `npm` | т. 7, т. 8
v9, v10 (только обновления версий) | \| poetry | `pip` | версия 2 | \| | \| До коммита | `pre-commit` | Неприменимо | \| | \| паб | `pub` | версия 2 | \| | \| Цепочка инструментов Rust | `rust-toolchain` | Неприменимо | \| | \| Swift | `swift` | v5 | \| Terraform | `terraform` | >= 0,13, <= 1.10.x | \| | \| ультрафиолетовый | `uv` | v0 | \| | \| | \| vcpkg | `vcpkg` | Неприменимо | \| | \| yarn | `npm` | v1, v2, v3, v4 | ## ``` `pull-request-branch-name.separator` ``` Укажите разделитель, используемый при создании имен ветвей. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot Поведение по умолчанию: ``` * Создайте имена ветвей формы: `dependabot/PACKAGE_MANAGER/DEPENDENCY` При `pull-request-branch-name.separator` определении: * Вместо этого используйте указанный `/`символ. Поддерживаемые значения: `"-"`, `_``/` > \[!TIP] > Символ дефиса должен быть экранирован, поэтому он не интерпретируется как запуск пустого списка YAML. ## ``` `rebase-strategy` ``` Отключите автоматическую перебазировку pull-запросов, вызванных Dependabot. ``` Dependabot По умолчанию перебазируется открытые pull request-запросы при Dependabot обнаружении изменений в версии или обновлении безопасности. Dependabot проверяет изменения когда: ``` * Расписание выполняется для проверки обновлений версий. * Вы снова открываете закрытый Dependabot pull request. * Вы меняете значение в `target-branch`Dependabot конфигурационном файле, см. [`target-branch`](#target-branch-). * Dependabot Pull request конфликтует после недавнего push-запроса на целевой ветке. Когда `rebase-strategy` установлено на `disabled`, Dependabot перестают перебазировать pull requests. > \[!NOTE] > Запросы на вытягивание, открытые **перед** отключением повторной базы данных, будут перебазироваться до 30 дней после их открытия. Это влияет на все запросы на вытягивание, конфликты с целевой ветвью и все запросы на вытягивание обновлений версий. ## ``` `registries` ``` Настройте доступ к частным реестрам пакетов для Dependabot обновления более широкого спектра зависимостей, см. [Настройка доступа к частным реестрам для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot) и [Руководство по настройке частных реестров для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/guidance-for-the-configuration-of-private-registries-for-dependabot). В файле есть 2 расположения `dependabot.yml` , в которых можно использовать `registries` ключ: 1. На верхнем уровне, где вы определяете частные реестры, которые вы хотите использовать, и сведения о доступе см. в разделе [Настройка доступа к частным реестрам для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot). 2. В блоках, где можно указать, какие частные `updates` реестры следует использовать каждому диспетчеру пакетов. ``` Dependabot По умолчанию поднимают pull requests только для обновления зависимостей, хранящихся в общедоступных реестрах. ``` Когда Dependabot в конфигурационном файле есть верхний `registries` уровень, определяющий доступ к одному или нескольким приватным реестрам, вы можете настроить каждый `package-ecosystem` из них на использование одного или нескольких таких регистров. Если `registries` определяется для диспетчера пакетов: * Каждый частный реестр, указанный для диспетчера пакетов, проверяется на наличие обновлений версии и системы безопасности. * Dependabot использует данные доступа, определённые в верхнем разделе `registries` . Поддерживаемые значения: `REGISTRY_NAME` или `"*"` ## ``` `schedule` **Обязательный параметр.** Определите частоту проверки новых версий для каждого диспетчера пакетов, который вы настраиваете с помощью `interval` параметра. Опционально, для ежедневных и недельных интервалов вы можете настраивать время Dependabot проверки обновлений. Примеры см. в разделе [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates). ``` | Параметры | Цель | | ----------------------- | ---- | | [`interval`](#interval) | | ``` **Обязательно**. Определяет частоту для Dependabot. | ``` \| [`day`](#day) | Укажите день, который нужно запустить для еженедельного **интервала** . | \| [`time`](#time) | Укажите время выполнения. | \| | \| [`cronjob`](#cronjob) | Определяет выражение cron, если тип интервала равен `cron`. | \| | \| [`timezone`](#timezone) | Укажите часовой `time` пояс значения. | ### `interval` Поддерживаемые значения: `daily`, , `weekly`, `monthly``quarterly`, `semiannually``yearly`или`cron` Каждый диспетчер **пакетов должен** определить интервал расписания. * Используется `daily` для запуска на каждый рабочий день, понедельник до пятницы. * Используется `weekly` для запуска раз в неделю по умолчанию в понедельник. * Используется `monthly` для запуска в первый день каждого месяца. * Используется `quarterly` для запуска в первый день каждого квартала (январь, апрель, июль и октябрь). * Используется `semiannually` для запуска каждые шесть месяцев, в первый день января и июля. * Используется `yearly` для запуска в первый день января. * Используется `cron` для параметра планирования на основе выражений cron. См. раздел [`cronjob`](#cronjob). > \[!NOTE] > Поддерживаемые значения `quarterly`, `semiannually`, и `yearly` доступны только на GitHub Enterprise Server версии 3.19. По умолчанию Dependabot случайным образом назначается время для применения всех обновлений в конфигурационном файле. С помощью `time``timezone` параметров можно задать определенную среду выполнения для всех интервалов.\ Если использовать `cron` интервал, можно определить время обновления с помощью выражения `cronjob` . ### `day` Поддерживаемые значения: `monday`, , `tuesday`, `wednesday``thursday`, `friday``saturday`или`sunday` При необходимости запустите **еженедельные** обновления для диспетчера пакетов в определенный день недели. ### `time` Формат: `hh:mm` При необходимости выполните все обновления для диспетчера пакетов в определенное время суток. По умолчанию время интерпретируется как UTC. ### `cronjob` Поддерживаемые значения: допустимое выражение cron в синтаксисе cron или естественном выражении. Синтаксис Cron содержит пять полей, разделенных пробелом, где каждое поле представляет единицу времени. ```text ┌───────────── minute (0 - 59) │ ┌───────────── hour (0 - 23) │ │ ┌───────────── day of the month (1 - 31) │ │ │ ┌───────────── month (1 - 12 or JAN-DEC) │ │ │ │ ┌───────────── day of the week (0 - 6 or SUN-SAT) │ │ │ │ │ * * * * * ``` Примеры: , `0 9 * * *``every day at 5pm` ``` `0 9 * * *` эквивалентен "каждый день в 9 утра". `every day at 5pm` эквивалентна `0 17 * * *`. ``` > \[!NOTE] > > * Часовые пояса должны быть указаны в параметре [`timezone`](#timezone) , а не в `cronjob`. > * Для `cronjob` использования интервала `cron` требуется расписание типов. ```yaml copy # Basic `dependabot.yml` file for cronjob version: 2 updates: # Enable version updates for npm - package-ecosystem: "npm" # Look for `package.json` and `lock` files in the `root` directory directory: "/" # Check the npm registry for updates based on `cronjob` value schedule: interval: "cron" cronjob: "0 9 * * *" ``` ### `timezone` Укажите часовой пояс для `time` значения. По умолчанию часовой пояс — `UTC`. Идентификатор часового пояса должен соответствовать часовой поясу в базе данных, поддерживаемой [iana](https://www.iana.org/time-zones), см [. список часовых поясов](https://en.wikipedia.org/wiki/List_of_tz_database_time_zones) базы данных tz. ## ``` `target-branch` ``` Определите конкретную ветвь для проверки обновлений версий и целевых запросов на вытягивание обновлений версий. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot Поведение по умолчанию: ``` * Dependabot использует стандартную ветку репозитория, см. [О ветке по умолчанию](/ru/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/about-branches#about-the-default-branch). При `target-branch` определении: * Для обновления версий проверяются только файлы манифеста в целевой ветви. * Все запросы на вытягивание обновлений версий открываются для указанной ветви. * Параметры, определенные для этого`package-ecosystem`, больше не применяются к обновлениям системы безопасности, так как обновления безопасности всегда используют ветвь по умолчанию для репозитория. ## ``` `exclude-paths` ``` Используйте для указания путей каталогов и файлов, которые Dependabot следует игнорировать при поиске манифестов и зависимостей. Этот параметр полезен, если требуется предотвратить обновления зависимостей в определенных расположениях, таких как тестовые ресурсы, поставщик кода или определенные файлы. ``` Dependabot Поведение по умолчанию: ``` * Все каталоги и файлы в указанном параметре `directory` включаются в проверку обновления, если этот параметр не исключен. При `exclude-paths` определении: * Все файлы и каталоги, соответствующие указанным путям, игнорируются во время проверки обновлений для указанной `package-ecosystem` записи. | Параметр | Цель | | --------------- | ------------------------------------------------------------------------------ | | `exclude-paths` | Список шаблонов глобов для файлов или каталогов, которые следует игнорировать. | Поддерживаются шаблоны glob, такие как `**` рекурсивное сопоставление и `*` подстановочные знаки с одним сегментом. Шаблоны относятся к указанному `directory` для конфигурации обновления. Каждая экосистема может иметь собственные `exclude-paths` параметры. ### Example ```yaml copy version: 2 updates: - package-ecosystem: "npm" directory: "/" schedule: interval: "daily" exclude-paths: - "src/test/assets" - "vendor/**" - "src/*.js" - "src/test/helper.js" # Sample patterns that can be used- # Pattern: docs/*.json # Matches: docs/foo.json, docs/bar.json # Pattern: *.lock # Matches: Gemfile.lock, package.lock, foo.lock (in any directory) # Pattern: test/** # Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt # Pattern: config/settings.yml # Matches: config/settings.yml # Pattern: **/*.md # Matches: README.md, docs/guide.md, any/depth/file.md # Pattern: src/* # Matches: src/main.rb, src/app.js # Does NOT match: src/utils/helper.rb # Pattern: hidden/.* # Matches: hidden/.env, hidden/.secret ``` В этом примере Dependabot я игнорирую `src/test/assets` папку, все файлы под `vendor/`, все JavaScript-файлы непосредственно под `src/`, и конкретный файл `src/test/helper.js` при поиске обновлений. ## ``` `vendor` ``` Поддерживается только: `bundler` и `gomod` только. Скажите Dependabot сохранять зависимости, указанные поставщиками, а также зависимости, определённые файлами манифеста. Зависимость описывается как "поставщик" или "кэширована" при хранении кода в репозитории, см`bundle cache`.[](https://bundler.io/man/bundle-cache.1.html) Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#updating-vendored-dependencies). ``` Dependabot Поведение по умолчанию: ``` * Сохраняйте только зависимости, записанные в манифесте и файлах блокировки, определенных для bundler. * Вызов запросов на обновление безопасности и версий, которые обновляют номера версий, записанные в файлах манифеста и блокировки. * Для модулей Go все поставщики зависимостей автоматически идентифицируются и поддерживаются так, как если бы `vendor` он был включен. Если `vendor` включена: * Dependabot также поддерживает зависимости для Bundler, которые хранятся в `_vendor/cache_` каталоге репозитория. * Запросы на вытягивание иногда содержат обновления зависимостей, хранящихся в репозитории. Поддерживаемые значения: `true` или `false` ## ``` `versioning-strategy` ``` Поддерживается: `bundler`, `cargo`, `composer`, `mix`, `npm``pip``pub`и`uv` Определите, как Dependabot следует редактировать файлы манифеста. Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-a-versioning-strategy). ``` Dependabot Поведение по умолчанию: ``` * Попробуйте различать зависимости приложений и библиотек. * Для приложений всегда увеличьте минимальное требование к версии, чтобы соответствовать новой версии. Стратегия `increase` . * Для библиотек расширяйте требования к разрешенной версии, чтобы включить как новые, так и старые версии, когда это возможно. Стратегия `widen` . Когда `versioning-strategy` определено, Dependabot используется заданная стратегия. | Ценность | Поведение | | ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `auto` | Поведение по умолчанию. | | `increase` | Всегда увеличьте минимальное требование к версии, чтобы соответствовать новой версии. Если диапазон уже существует, обычно это только увеличивает нижнюю границу. | | `increase-if-necessary` | Оставьте требование версии без изменений, если она уже разрешает новый выпуск (Dependabot по-прежнему обновляет разрешенную версию). В противном случае расширение требования. | | `lockfile-only` | Создавать запросы на вытягивание только для обновления файлов блокировки. Пропускать все новые версий, для которых требуются изменения манифеста пакета. | | `widen` | Расширяйте допустимые требования к версии для включения новых и старых версий, когда это возможно. Как правило, это увеличивает только максимально допустимое требование версии. | Например, если текущая версия и `1.0.0` текущее ограничение является `^1.0.0` различными стратегиями, будет вызывать следующие обновления: Новая версия `1.2.0` * `increase`: новое ограничение `^1.2.0` * `increase-if-necessary`: новое ограничение `^1.0.0` * `widen`: новое ограничение `^1.0.0` Новая версия `2.0.0` * `increase`: новое ограничение `^2.0.0` * `increase-if-necessary`: новое ограничение `^2.0.0` * `widen`: новое ограничение `>=1.0.0 <3.0.0` > \[!NOTE] > Если менеджер пакетов, который вы используете, пока не поддерживает настройку параметра `versioning-strategy` или не поддерживает нужное значение, то код стратегии open source, поэтому если вы хотите, чтобы конкретная экосистема поддерживала новую стратегию, вы всегда можете отправить pull request в . ### Теги управления версиями * Представляет этапы жизненного цикла выпуска программного обеспечения, такие как альфа, бета-версия и стабильные версии. * Позволяет издателям более эффективно распространять свои пакеты. * Укажите стабильность версии и сообщите, какие пользователи должны ожидать с точки зрения функций и стабильности. Dependabot распознает различные теги управления версиями для предварительных выпусков, стабильных версий и пользовательских тегов в разных экосистемах. Файл `dependabot.yml` не управляет тегами управления версиями, которые можно использовать, но можно определить в параметрах конфигурации, таких как [`ignore`](/ru/code-security/dependabot/working-with-dependabot/dependabot-options-reference#ignore--) поддерживаемые теги управления версиями, для которого требуется игнорировать обновления. #### Поддерживаемые теги управления версиями \| **Диспетчер пакетов** | **Значение YAML** | **Поддерживаемые теги** | **Примеры** | \|---------------------|----------------|--------------------|--------------| \| Maven | `maven` | `alpha, a, beta, b, milestone, m, rc, cr, sp, ga, final, release, snapshot` | `spring-security-web@5.6.0-SNAPSHOT`, `spring-core@5.2.0.RELEASE` | \| npm | `npm` | `alpha`, `beta`, `canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable` | `lodash@beta`, , `react@latest``express@next` | \| pnpm | `npm` | `alpha`, `beta`, `canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable` | `lodash@1.2.0-alpha`, , `react@alpha``vue@next` | \| yarn | `npm` | `alpha`, `beta`, `canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable` | `lodash@1.2.0-alpha`, , `axios@latest``moment@nightly` | #### Глоссарий тегов управления версиями *** ``` `alpha`:** ранняя версия может быть нестабильной и иметь неполные функции. ``` *** ``` `beta`:** более стабильным, чем альфа- но может по-прежнему иметь ошибки. ``` *** ``` `canary`:** регулярно обновляется предварительная версия для тестирования. ``` *** ``` `dev`:** представляет версии разработки. ``` *** ``` `experimental`:** версии с экспериментальными функциями. ``` *** ``` `latest`:** последний стабильный выпуск. ``` *** ``` `legacy`:** старые или устаревшие версии. ``` *** ``` `next`:** предстоящая версия выпуска. ``` *** ``` `nightly`:** версии, созданные ночью; часто включают последние изменения. ``` *** ``` `rc`:** кандидат выпуска, близкий к стабильному выпуску. ``` *** ``` `release`:** официальная версия выпуска. ``` *** ``` `stable`:** самая надежная, готовая к работе версия. ``` ## Ключ верхнего уровня `registries` Укажите данные аутентификации, которые Dependabot можно использовать для доступа к частным реестрам пакетов, включая регистры, размещённые на GitLab или Bitbucket. Значение ключа `registries` является ассоциативным массивом, каждый элемент которого состоит из ключа, определяющего конкретный реестр, и значения, являющегося ассоциативным массивом, которое указывает параметры, необходимые для доступа к реестру. `dependabot.yml` Следующий файл настраивает реестр, определенный как `dockerhub` в `registries` разделе файла, а затем ссылается на этот файл в `updates` разделе файла. ```yaml copy # Minimal settings to update dependencies stored in one private registry version: 2 registries: dockerhub: # Define access for a private registry type: docker-registry url: registry.hub.docker.com username: octocat password: ${{secrets.DOCKERHUB_PASSWORD}} updates: - package-ecosystem: "docker" directory: "/docker-registry/dockerhub" registries: - dockerhub # Allow version updates for dependencies in this registry schedule: interval: "monthly" ``` Для указания параметров доступа используются следующие параметры. Параметры реестра должны содержать `type` и `url`, а также, как правило, либо сочетание `username` и `password`, либо `token`. | Параметры | Характер использования | | :---------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | `REGISTRY_NAME` | \*\*\*\* Обязательный: определяет идентификатор реестра. | | `type` | \*\*\*\* Обязательный: определяет тип реестра. | | Подробные сведения о проверке подлинности | \*\*\*\* Обязательный: параметры, поддерживаемые для предоставления сведений о проверке подлинности, зависят от реестров разных типов. | | `url` | \*\*\*\* Обязательный: URL-адрес, используемый для доступа к зависимостям в этом реестре. Протокол указывать необязательно. Если этот параметр не задан, для него предполагается значение `https://`. Dependabot добавляет или пропускает конечные косые черты по мере необходимости. | | `replaces-base` | Если логическое значение равно `true`, Dependabot разрешает зависимости, используя указанный `url` , а не базовый URL-адрес этой экосистемы. | Подробные сведения о доступных вариантах, а также рекомендации и советы по настройке частных реестров см. в разделе [Руководство по настройке частных реестров для Dependabot](/ru/code-security/dependabot/working-with-dependabot/guidance-for-the-configuration-of-private-registries-for-dependabot). ### ``` `type` и сведения о проверке подлинности ``` Параметры, используемые для предоставления сведений о проверке подлинности для доступа к частному реестру, зависят от реестра `type`. | Регистратура `type` | Обязательные параметры проверки подлинности | | --------------------- | ------------------------------------------- | | `cargo-registry` | `token` | | `composer-repository` | | ``` `username` и `password`.
или OIDC с `tenant-id` и `client-id` | ``` \| `docker-registry` | `username` и `password`.
или OIDC с `tenant-id` и `client-id` | \| `git` | `username` и `password`.
или OIDC с `tenant-id` и `client-id` | \| `hex-organization` | `organization` и `key`. | \| `hex-repository` | `repo` и `auth-key` при необходимости с соответствующими `public-key-fingerprint` | \| `maven-repository` | `username` и `password`.
или OIDC с `tenant-id` и `client-id` | \| `npm-registry` | `username` и `password`.
или `token`
или OIDC с `tenant-id` и `client-id` | \| `nuget-feed` | `username` и `password`.
или `token`
или OIDC с `tenant-id` и `client-id` | \| `pub-registry` | `token` | \| `python-index` | `username` и `password`.
или `token`
или OIDC с `tenant-id` и `client-id` | \| `rubygems-server` | `username` и `password`.
или `token`
или OIDC с `tenant-id` и `client-id` | \| `terraform-registry` | `token` | Все конфиденциальные данные, используемые для проверки подлинности, должны храниться безопасно и ссылаться на нее из этого безопасного расположения, см. в разделе [Настройка доступа к частным реестрам для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot). > \[!TIP] > Если учетная запись является учетной записью GitHub, вместо пароля можно использовать GitHub personal access token вместо пароля. Для получения дополнительной информации о поддержке OIDC см Dependabot. [OpenID Connect](/ru/actions/concepts/security/openid-connect#oidc-support-for-dependabot) и [Настройка доступа к частным реестрам для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot#using-oidc-for-authentication). ### ``` `url` и `replaces-base`. ``` Параметр `url` определяет, где получить доступ к реестру. Когда опциональный `replaces-base` параметр включён (`true`), Dependabot разрешает зависимости, используя значение `url` , а не базовый URL конкретной экосистемы.