# 关于 Dependabot 版本更新

您可以使用 Dependabot 来确保您使用的包更新到最新版本。

## 关于 Dependabot version updates

Dependabot 负责维护您的依赖项。 您可以使用它来确保仓库自动跟上它所依赖的包和应用程序的最新版本。

当 Dependabot 提出拉取请求时，这些拉取请求可以是安全更新或版本更新：

* Dependabot security updates 是自动拉取请求，可帮助你更新已知漏洞的信赖项。
* Dependabot version updates 是自动拉取请求，即使它们没有任何漏洞，也会保持更新依赖项。 要检查版本更新的状态，请导航到你的仓库的“Insights”选项卡，然后选择“Dependency Graph”和“Dependabot”。\*\*\*\*\*\*\*\*

通过将 `dependabot.yml` 配置文件签入存储库，可启用 Dependabot version updates。

Dependabot 和所有相关功能受 [GitHub 服务条款](/zh/site-policy/github-terms/github-terms-of-service)约束。

## 软件包更新

配置文件 `dependabot.yml` 指定存储在存储库中的清单或其他包定义文件的位置。 Dependabot 使用此信息检查过时的包和应用程序。 Dependabot 通过查看依赖项的语义版本控制 ([semver](https://semver.org/)) 来确定是否存在新版本的依赖项，从而决定它是否应该更新到该版本。 有关受支持的仓库和生态系统的详细信息，请参阅“[Dependabot 支持的生态系统和存储库](/zh/code-security/dependabot/ecosystems-supported-by-dependabot/supported-ecosystems-and-repositories)”。

还可以将 `dependabot.yml` 文件配置为告知 Dependabot 如何维护依赖项。 有关详细信息，请参阅“[关于 dependabot.yml 文件](/zh/code-security/concepts/supply-chain-security/about-the-dependabot-yml-file)”。

对于某些软件包管理器，Dependabot version updates 也支持供应。 供应（或缓存）的依赖项是检入仓库中特定目录的依赖项，而不是在清单中引用的依赖项。 即使包服务器不可用，供应的依赖项在生成时也可用。 Dependabot version updates 可以配置为检查为新版本供应的依赖项，并在必要时更新它们。

当 Dependabot 发现过时的依赖项时，它将引发一个拉取请求，用于将清单更新到依赖项的最新版本。 对于供应和依赖项，Dependabot 提出拉取请求以直接将过时的依赖项替换为新版本。 检查测试是否通过，查看拉取请求摘要中包含的更改日志和发行说明，然后合并它。 有关详细信息，请参阅“[配置 Dependabot 版本更新](/zh/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates)”。

如果启用\_安全更新\_，Dependabot 还会发起拉取请求以更新存在漏洞的依赖项。 有关详细信息，请参阅“[关于 Dependabot 安全更新](/zh/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)”。

## 针对操作的更新

操作通常使用漏洞修复和新功能进行更新，以使自动化流程更可靠、更快速、更安全。 当你为 Dependabot version updates 启用 GitHub Actions 后，Dependabot 将帮助确保存储库的 *workflow\.yml* 文件中对操作的引用，以及工作流中使用的可重用工作流，始终保持最新。

对于文件中的每个操作，Dependabot 根据最新版本检查操作的引用（通常是与操作关联的版本号或提交标识符）。 如果操作有更新的版本，Dependabot 将向你发送拉取请求，要求将工作流程文件中的引用更新到最新版本。

Dependabot 还会检查工作流文件中对可重用工作流的使用情况，并更新这些被调用的可重用工作流的 Git 引用。

若要启用此功能，请参阅 [使用 Dependabot 保持操作的最新状态](/zh/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/keeping-your-actions-up-to-date-with-dependabot)。

## 关于 Dependabot updates

的自动停用

当仓库的维护者停止与 Dependabot 拉取请求交互时，Dependabot 会暂时暂停其更新并发出通知，请参阅 [不再生成 Dependabot 更新拉取请求](/zh/code-security/dependabot/troubleshooting-dependabot/dependabot-updates-stopped)。

## 关于 Dependabot 版本更新通知

您可以按 GitHub 筛选通知，以显示由 Dependabot创建的拉取请求的通知。 有关详细信息，请参阅“[在收件箱中管理通知](/zh/account-and-profile/managing-subscriptions-and-notifications-on-github/viewing-and-triaging-notifications/managing-notifications-from-your-inbox)”。