{"meta":{"title":"Сведения об обновлениях версий Dependabot","intro":"Вы можете использовать Dependabot, чтобы обновлять используемые пакеты до последних версий.","product":"Безопасность и качество кода","breadcrumbs":[{"href":"/ru/code-security","title":"Безопасность и качество кода"},{"href":"/ru/code-security/concepts","title":"Concepts"},{"href":"/ru/code-security/concepts/supply-chain-security","title":"Безопасность цепочки поставок"},{"href":"/ru/code-security/concepts/supply-chain-security/about-dependabot-version-updates","title":"Обновления версий Dependabot"}],"documentType":"article"},"body":"# Сведения об обновлениях версий Dependabot\n\nВы можете использовать Dependabot, чтобы обновлять используемые пакеты до последних версий.\n\n## Сведения об Dependabot version updates\n\nDependabot берет на себя работу по поддержке ваших зависимостей. Используйте его, чтобы обеспечить автоматическую синхронизацию репозитория с последними выпусками пакетов и приложений, от которых он зависит.\n\nКогда Dependabot вызывает запросы на вытягивание, такие запросы могут быть предназначены для обновлений *безопасности* или *версий*:\n\n* *Dependabot security updates*  — это автоматизированные запросы на вытягивание, позволяющие обновлять зависимости с известными уязвимостями.\n* *Dependabot version updates*  — это автоматизированные запросы на вытягивание, позволяющие поддерживать зависимости в актуальном состоянии, даже если у них нет уязвимостей. Чтобы проверить состояние обновлений версий, перейдите на **вкладку \"Аналитика** \" репозитория, а затем выберите **Граф** зависимостей и Dependabot.\n\nВы включите Dependabot version updates путем `dependabot.yml` проверки файла конфигурации в репозитории.\n\nDependabot и все связанные функции охватываются [условиями предоставления услуг GitHub](/ru/site-policy/github-terms/github-terms-of-service).\n\n## Обновления пакетов\n\nКонфигурационный `dependabot.yml` файл указывает местоположение манифеста или других файлов определения пакета, хранящихся в вашем репозитории. Dependabot использует эти сведения для проверки устаревших пакетов и приложений. Dependabot определяет наличие новой версии зависимости, анализируя семантическое версионирование ([semver](https://semver.org/)) зависимости, чтобы решить, нужно ли обновлять зависимость до этой версии. Сведения о поддерживаемых репозиториях и экосистемах см. в разделе [Поддерживаемые экосистемы и репозитории Dependabot](/ru/code-security/dependabot/ecosystems-supported-by-dependabot/supported-ecosystems-and-repositories).\n\nФайл также можно настроить так, чтобы он указывал `dependabot.yml` Dependabot, как поддерживать зависимости. Дополнительные сведения см. в разделе [О файле dependabot.yml](/ru/code-security/concepts/supply-chain-security/about-the-dependabot-yml-file).\n\nВ некоторых диспетчерах пакетов Dependabot version updates также поддерживает поставщиков. Зависимости от поставщиков (или кэшированные зависимости) — это зависимости, которые записываются в определенный репозиторий вместо указания в манифесте. Зависимости от поставщиков доступны во время сборки, даже если серверы пакетов недоступны. Dependabot version updates можно настроить для проверки зависимостей от поставщиков на наличие новых версий и их обновления при необходимости.\n\nЕсли Dependabot идентифицирует устаревшую зависимость, он создает запрос на вытягивание для обновления манифеста до последней версии зависимости. Для зависимостей от поставщиков Dependabot создает запрос на вытягивание, чтобы напрямую заменить устаревшую зависимость новой версией. Проверьте, что тесты пройдены, просмотрите журнал изменений и заметки о выпуске, включенные в сводку запроса на вытягивание, а затем объедините запрос на вытягивание. Дополнительные сведения см. в разделе [Настройка обновлений версий Dependabot](/ru/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates).\n\nПри включении *обновлений системы безопасности* Dependabot также создает запросы на вытягивание для обновления уязвимых зависимостей. Дополнительные сведения см. в разделе [Сведения об обновлениях для системы безопасности Dependabot](/ru/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).\n\n## Обновления действий\n\nДействия часто обновляются с помощью исправлений ошибок и новых компонентов, чтобы сделать автоматизированные процессы более надежными, быстрыми и безопасными. Если включить Dependabot version updates для GitHub Actions, Dependabot поможет обеспечить актуальность ссылок на действия в файле workflow\\.yml репозитория \\_\\_ и повторно используемых рабочих процессах внутри рабочих процессов.\n\nДля каждого действия в файле Dependabot проверяет ссылку на действие (обычно номер версии или идентификатор фиксации, связанный с действием) на соответствие последней версии. Если доступна более поздняя версия действия, Dependabot отправит запрос на вытягивание, который обновляет ссылку в файле рабочего процесса до последней версии.\n\nDependabot также проверяет файлы рабочих процессов на предмет использования повторно используемых рабочих процессов и обновляет ссылку Git для этих называемых повторно используемых рабочих процессов.\n\nЧтобы включить эту функцию, см. [Поддержка актуальности действий с помощью Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/keeping-your-actions-up-to-date-with-dependabot).\n\n## О автоматической деактивации Dependabot updates\n\nКогда поддержка репозитория перестает взаимодействовать с запросами на вытягивание Dependabot, Dependabot временно приостанавливает обновления и позволяет узнать, см [. раздел AUTOTITLE](/ru/code-security/dependabot/troubleshooting-dependabot/dependabot-updates-stopped).\n\n## Сведения об уведомлениях для обновлений версий Dependabot\n\nВы можете отфильтровать уведомления по GitHub для отображения уведомлений о запросах на вытягивание, созданных Dependabot. Дополнительные сведения см. в разделе [Управление уведомлениями из папки \"Входящие\"](/ru/account-and-profile/managing-subscriptions-and-notifications-on-github/viewing-and-triaging-notifications/managing-notifications-from-your-inbox)."}