{"meta":{"title":"Справочник по параметрам зависимостей","intro":"Подробная информация обо всех опциях, которые можно использовать для настройки способов Dependabot обслуживания ваших репозиториев.","product":"Безопасность и качество кода","breadcrumbs":[{"href":"/ru/code-security","title":"Безопасность и качество кода"},{"href":"/ru/code-security/reference","title":"Reference"},{"href":"/ru/code-security/reference/supply-chain-security","title":"Безопасность цепочки поставок"},{"href":"/ru/code-security/reference/supply-chain-security/dependabot-options-reference","title":"Опции dependabot"}],"documentType":"article"},"body":"# Справочник по параметрам зависимостей\n\nПодробная информация обо всех опциях, которые можно использовать для настройки способов Dependabot обслуживания ваших репозиториев.\n\nВ этой статье приведена справочная информация по параметрам конфигурации, доступным в `dependabot.yml` файле. Используйте эти параметры, чтобы настраивать мониторинг Dependabot упаковки экосистем, планировать обновления и создавать pull requests. Для обзора `dependabot.yml` файла и его работы смотрите [О файле dependabot.yml](/ru/code-security/concepts/supply-chain-security/about-the-dependabot-yml-file).\n\nВсе опции, отмеченные иконкой, также меняют способ Dependabot создания pull-запросов на обновления безопасности, за исключением случаев, где `target-branch` это используется.\n\n### Обязательные ключи\n\n| Key | Местоположение | Цель |\n| --------- | --------------- | ---- |\n| `version` | Верхний уровень | |\n\n```\n Dependabot Использовать синтаксис конфигурации. Всегда: `2`.|\n```\n\n\\| `updates` | Верхний уровень| Раздел, в котором определяется каждый `package-ecosystem` из них для обновления.|\n\\| [`package-ecosystem`](#package-ecosystem-) | в разделе `updates` | Определите диспетчер пакетов для обновления. |\n\\| [\n`directories` или `directory`](#directories-or-directory--) | Под каждой `package-ecosystem` записью | Определите расположение манифеста или других файлов определений для обновления. |\n\\| [`schedule.interval`](#schedule-) | Под каждой `package-ecosystem` записью | Определите, искать ли обновления версий: `daily`, `weekly`, `monthly`, `quarterly``semiannually``yearly`, , или .`cron` |\n\nКроме того, можно включить ключ верхнего уровня `registries` для определения сведений о доступе для частных реестров, см`registries` верхнего уровня[](#top-level-registries-key)\".\n\n```yaml copy\n\n# Basic `dependabot.yml` file with\n# minimum configuration for two package managers\n\nversion: 2\nupdates:\n # Enable version updates for npm\n - package-ecosystem: \"npm\"\n # Look for `package.json` and `lock` files in the `root` directory\n directory: \"/\"\n # Check the npm registry for updates every day (weekdays)\n schedule:\n interval: \"daily\"\n\n # Enable version updates for Docker\n - package-ecosystem: \"docker\"\n # Look for a `Dockerfile` in the `root` directory\n directory: \"/\"\n # Check for updates once a week\n schedule:\n interval: \"weekly\"\n```\n\nДля реального примера `dependabot.yml` файла см. [Dependabotсобственный конфигурационный файл .](https://github.com/dependabot/dependabot-core/blob/main/.github/dependabot.yml)\n\n##\n\n```\n `allow`\n \n \n \n```\n\nИспользуется для определения точного определения зависимостей, которые следует поддерживать для экосистемы пакетов. Часто используется с параметром [`ignore`](#ignore--) . Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#allowing-specific-dependencies-to-be-updated).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Все зависимости, явно определённые в манифесте, поддерживаются в актуальном состоянии с помощью обновлений версий.\n* Все зависимости, определённые в файлах блокировки с уязвимыми зависимостями, обновляются с помощью обновлений безопасности.\n\nПри `allow` задании Dependabot используется следующий процесс:\n\n1. Проверьте наличие всех явно **разрешенных** зависимостей.\n2. Затем отфильтруйте все **игнорируемые** зависимости или версии.\n\n Если зависимость соответствует `allow` оператору и оператору`ignore`, он игнорируется\\*\\*\\*\\*.\n\n| Параметры | Цель |\n| ----------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| `dependency-name` | Разрешить обновления зависимостей с соответствующими именами, при необходимости используя `*` для сопоставления ноль или более символов. |\n| `dependency-type` | Разрешить обновления для зависимостей определенных типов. |\n| | |\n| `update-types` | Разрешить обновления одного или нескольких уровней семантического версионирования. Поддерживаемые значения: `version-update:semver-patch`, `version-update:semver-minor`и `version-update:semver-major`. |\n| | |\n\n###\n\n```\n `dependency-name` (`allow`)\n```\n\nДля большинства диспетчеров пакетов необходимо определить значение, соответствующее имени зависимости, указанному в файле блокировки или манифеста. Некоторые системы имеют более сложные требования.\n\n| Диспетчер пакетов | Обязательный формат | Example |\n| ---------------------------- | ---------------------- | ------------------------------------------------------------------------------------------------------------------------------------------ |\n| Gradle и Maven | `groupId:artifactId` | `org.kohsuke:github-api` |\n| Docker для тегов изображений | Полное имя репозитория | Для тега `.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`изображения используйте `base/foo/bar/ruby`. |\n\n###\n\n```\n `dependency-type` (`allow`)\n```\n\n| Типы зависимостей | Поддерживаемые диспетчерами пакетов | Разрешить обновления |\n| ----------------- | ----------------------------------- | ---------------------------------- |\n| `direct` | All | Все явно определенные зависимости. |\n| `indirect` | | |\n\n```\n `bundler`, `pip`, `composer`, `cargo`, `gomod`, `uv` | Зависимости прямых зависимостей (также известные как подзависимости или транзитивные зависимости).|\n```\n\n\\| `all` | All | Все явно определенные зависимости. Для `bundler`, `pip`, `composer`,`cargo``gomod``uv` также зависимости прямых зависимостей.|\n\\| `production` |\n`bundler`, `composer`, `mix`, `maven``npm`, `pip`, , ( `uv` не все менеджеры) | Только для зависимостей, определенных диспетчером пакетов в качестве рабочих зависимостей. |\n\\| `development`|\n`bundler`, `composer`, `mix`, `maven``npm`, `pip`, , ( `uv` не все менеджеры) | Только для зависимостей, определенных диспетчером пакетов в качестве зависимостей разработки. |\n\n###\n\n```\n `update-types` (`allow`)\n\n `update-types` Влияет только на _обновления версий_ , а не _на обновления безопасности_.\n```\n\nУкажите, какие семантические версии (SemVer) разрешать.\n\nSemVer является принятым стандартом для определения версий программных пакетов в форме `x.y.z`.\nDependabot предполагает, что версии в этой форме всегда `major.minor.patch`являются . Значение `update-types` представляет собой список одной или нескольких строк.\n\n* Используйте `version-update:semver-patch` для разрешения релизов патчей.\n* Используйте `version-update:semver-minor` для разрешения незначительных релизов.\n* Используйте `version-update:semver-major` для разрешения крупных релизов.\n\nЕсли `update-types` в правиле `allow` исключено, разрешены все типы обновлений для этого правила.\n\nВы можете объединять `update-types` с `dependency-name` разрешёнными обновлениями или `dependency-type` ещё больше сузить. Примеры того, как можно объединить эти опции, см. [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/controlling-dependencies-updated#allowing-specific-semantic-versioning-levels-for-updates).\n\n##\n\n```\n `assignees`\n \n \n \n```\n\nУкажите отдельные назначаемый объект для всех запросов на вытягивание, поднятых для экосистемы пакетов. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Запросы на вытягивание создаются без назначаемого пользователя.\n\nПри `assignees` определении:\n\n* Все pull-запросы на обновления версий создаются с выбранными присваивателями.\n* Все pull-запросы на обновления безопасности создаются с выбранными присваивателями, если `target-branch` только не определяется обновление для нестандартной ветки.\n\nНазначаемы должны иметь доступ на запись в репозиторий. Для репозиториев, принадлежащих организации, члены организации с доступом на чтение также являются допустимыми назначаемыми.\n\n##\n\n```\n `commit-message`\n \n \n \n```\n\nОпределите формат для сообщений фиксации. Так как заголовки запросов на вытягивание записываются на основе сообщений о фиксации, этот параметр также влияет на заголовки запросов на вытягивание. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Фиксация сообщений соответствует аналогичным шаблонам, обнаруженным в репозитории.\n\nПри `commit-message` определении:\n\n* Все коммит-сообщения следуют определённому шаблону.\n* Все коммит-сообщения следуют определённому шаблону, если только `target-branch` не обновляется в нестандартную ветку.\n\n| Параметры | Цель |\n| -------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------- |\n| `prefix` | Определяет префикс для всех сообщений фиксации и заголовков запросов на вытягивание. |\n| `prefix-development` | В поддерживаемых системах определяет другой префикс, используемый для фиксаций, которые обновляют зависимости в группе зависимостей разработки. |\n| `include` | Следуйте префиксу сообщения фиксации с дополнительными сведениями. |\n\n> \\[!TIP]\n> Когда запросы на вытягивание создаются для группированных обновлений, имя ветви и название запроса на вытягивание определяются группой`IDENTIFIER`, см. в разделе`groups`[](#groups--) .\n\n### `prefix`\n\n* Используется для всех сообщений фиксации, если `prefix-development` не определено.\n* Значение может составлять до 50 символов.\n* Dependabot вставляет двоеточие после префикса перед добавлением основного сообщения фиксации, когда значение заканчивается буквой, цифрой, закрывающей скобкой или заключительной скобкой.\n* Завершите значение символом пробела, чтобы остановить добавление двоеточия.\n\n### `prefix-development`\n\nПоддерживается: `bundler`, `composer`, `mix`, `maven`, `npm``pip`, , и `uv`.\n\n* Используется только для сообщений фиксации, обновляющих зависимости в группе зависимостей разработки.\n* В противном случае параметр ведет себя точно так же, как `prefix` и параметр.\n\n### `include`\n\n* Поддерживает только значение `scope`\n* При определении любого префикса следует тип зависимостей, обновленных в фиксации: `deps` или `deps-dev`.\n\n##\n\n```\n `cooldown`\n \n \n\n **Определяет период** охлаждения для обновлений зависимостей, что позволяет отложить обновления в течение настраиваемого количества дней. Эта `cooldown` опция доступна только для обновлений _версий_ , но не для _обновлений безопасности_ .\n```\n\nЭта функция позволяет пользователям настраивать частоту Dependabot генерации обновлений новых версий, обеспечивая больший контроль над частотой обновлений. Примеры см. в разделе [Оптимизация создания запросов на вытягивание обновлений версий Dependabot](/ru/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates#setting-up-a-cooldown-period-for-dependency-updates).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Проверьте наличие обновлений в соответствии с запланированным путем `schedule.interval`.\n* Рассмотрите все новые версии немедленно\\*\\* для обновлений\\*\\*.\n\nПри **`cooldown`** определении:\n\n1. ```\n Dependabot Проверяет наличие обновлений в соответствии с определёнными `schedule.interval` настройками.\n ```\n2. ```\n Dependabot Проверяет настройки перезарядки.\n ```\n3. Если новый релиз зависимости соответствует периоду восстановления, Dependabot пропускает обновление версии для этой зависимости.\n4. Зависимости без периода охлаждения или тех, кто за прошлый период охлаждения, обновляются до последней версии в соответствии с настроенным `versioning-strategy` параметром.\n5. После окончания перезарядки зависимости Dependabot обновляется по стандартной стратегии обновления, определённой в `dependabot.yml`.\n\n###\n\n```\n **Конфигурация `cooldown`**\n```\n\nМожно указать длительность охлаждения, используя приведенные ниже параметры.\n\n| Параметр | Description |\n| -------------- | ----------- |\n| `default-days` | |\n\n```\n **Период охлаждения по умолчанию для зависимостей без определенных** правил (необязательно). |\n```\n\n\\| `semver-major-days` | Период охлаждения для **обновлений** основных версий (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). |\n\\| `semver-minor-days` | Период охлаждения для **дополнительных обновлений** версий (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). |\n\\| `semver-patch-days` | Период охлаждения для **обновлений** версий исправлений (необязательно, применяется только к диспетчерам пакетов, поддерживающим SemVer). |\n\\| `include` | Список зависимостей для **применения охлаждения** (до **150 элементов**). Поддерживает подстановочные знаки (`*`). |\n\\| `exclude` | Список зависимостей, исключенных из прохладной очистки \\*\\*\\*\\* (до **150 элементов**). Поддерживает подстановочные знаки (`*`). |\n\nВ таблице ниже показаны диспетчеры пакетов, для которых поддерживается SemVer.\n\n| Диспетчер пакетов | Поддерживается SemVer |\n| ------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| | |\n| Базель | |\n| | |\n| Средство увязки программ в пакеты | |\n| Булочка | |\n| Груз | |\n| Composer | |\n| Devcontainers | |\n| Докер | |\n| Docker Compose | |\n| Dotnet SDK | |\n| Elm | |\n| GitHub Actions | |\n| Gitsubmodule | |\n| Gomod (Модули Go) | |\n| Gradle (Грэйдл) | |\n| Штурвал | |\n| Шестнадцатеричное (шестнадцатеричное) | |\n| | |\n| Julia | |\n| | |\n| Мейвен | |\n| NPM и Yarn | |\n| NuGet | |\n| | |\n| OpenTofu | |\n| | |\n| PIP | |\n| Кабак | |\n| Swift | |\n| Terraform | |\n| УЛЬТРАФИОЛЕТОВЫЙ | |\n\n> \\[!NOTE]\n>\n> * Если `semver-major-days`, `semver-minor-days`или `semver-patch-days` не определены, `default-days` параметры будут иметь приоритет для обновлений на основе охлаждения.\n> * Список `exclude` всегда имеет приоритет над списком `include` . Если зависимость указана в обоих списках, она **исключается из прохладной работы** и будет немедленно обновлена.\n\n##\n\n```\n `directories` или `directory`\n\n **Обязательный параметр**. Используется для определения расположения манифестов пакета для каждого диспетчера пакетов (например, _package.json_ или _Gemfile_). Без этой информации Dependabot нельзя создавать pull requests на обновления версий. Примеры см. в разделе [\"Определение нескольких расположений для файлов](/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-multiple-locations-for-manifest-files) манифеста\".\n```\n\n* Используется `directory` для определения одного каталога манифестов.\n\n* Используется `directories` для определения списка нескольких каталогов манифестов.\n\n* Определите каталоги относительно корневого каталога репозитория для большинства диспетчеров пакетов.\n\n* Для GitHub Actions, используйте значение `/`.\n Dependabot будет искать в `/.github/workflows` каталоге, а также по `action.yml/action.yaml` файлу из корневой директории.\n\nЕсли необходимо использовать несколько блоков в файле конфигурации для определения обновлений для одной целевой ветви экосистемы, необходимо убедиться, что все значения уникальны и не перекрываются в каталогах.\n\n> \\[!NOTE]\n> Ключ `directories` поддерживает глоббинг и подстановочный знак `*`. Эти функции не поддерживаются ключом `directory` .\n\n##\n\n```\n `enable-beta-ecosystems`\n \n \n```\n\nВ настоящее время не используется.\n\n##\n\n```\n `groups`\n \n \n \n```\n\nОпределите правила для создания одного или нескольких наборов зависимостей, управляемых диспетчером пакетов, чтобы группировать обновления в меньшее количество целевых запросов на вытягивание. Примеры см. в разделе [Оптимизация создания запросов на вытягивание обновлений версий Dependabot](/ru/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Откройте один запрос на вытягивание для каждой зависимости, которая должна быть обновлена до более новой версии для обновлений версий и обновлений системы безопасности.\n\nКогда `groups` используется для определения правил:\n\n* Все обновления зависимостей, которые соответствуют правилу, объединяются в одном запросе на вытягивание.\n* Если зависимость соответствует нескольким правилам, она включена в первую группу, которая соответствует ей.\n* Все устаревшие зависимости, которые не соответствуют правилу, обновляются в отдельных запросах на вытягивание.\n\n| Параметры | Цель |\n| ------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| `IDENTIFIER` | Определите идентификатор группы для использования в именах ветвей и заголовках запросов на вытягивание. Это должно начинаться и заканчиваться буквами, а также содержать буквы, каналы `\\|`, подчеркивания `_`или дефисы `-`. |\n| `applies-to` | Укажите тип обновления, к которому применяется группа. Если не определено, по умолчанию обновляется версия. Поддерживаемые значения: `version-updates` или `security-updates`. |\n| `dependency-type` | Ограничить группу типом. Поддерживаемые значения: `development` или `production`. |\n| `exclude-patterns` | Определите один или несколько шаблонов, чтобы исключить зависимости из группы. |\n| | |\n| `group-by` | Групповые обновления в нескольких каталогах. Поддерживаемое значение: `dependency-name`. |\n| | |\n| `patterns` | Определите один или несколько шаблонов для включения зависимостей с соответствующими именами. |\n| `update-types` | Ограничить группу одним или несколькими уровнями семантического управления версиями. Поддерживаемые значения: `minor`, `patch`и `major`. |\n\n###\n\n```\n `dependency-type` (`groups`)\n```\n\nПоддерживается: `bundler`, , `composer``mix`, `maven`, `npm`и `pip`.\n\nПо умолчанию группа будет включать все типы зависимостей.\n\n* Используется `development` для включения только зависимостей в группу зависимостей разработки.\n* Используется `production` для включения только зависимостей в рабочую группу зависимостей.\n\n###\n\n```\n `group-by` (`groups`)\n```\n\nИспользуйте `groups..group-by` для указания, как Dependabot групповые обновления должны быть в нескольких каталогах в монорепозитории.\n\n* **Тип:** Струна\n* **Принятые ценности:**`dependency-name`\n* **Относится к:** Конфигурации с множеством указанных каталогов\n\nПри установке на `dependency-name`, Dependabot для каждого обновления зависимостей создаётся один пулл-запрос для всех указанных каталогов, а не отдельные pull requests для каждого каталога.\n\n```\n **Ограничения межкаталоговой группировки**\n```\n\nПрименяя `group-by: dependency-name`, помните следующие правила.\n\n* Все каталоги должны использовать одну и ту же экосистему пакетов (например, все `npm` или все `bundler`)\n* **Применяется только к обновлениям версий**\n* Если в каталогах есть несовместимые версионные ограничения для зависимости, Dependabot создаются отдельные pull requests\n\nДля примеров использования `group-by`, см. [Оптимизация создания запросов на вытягивание обновлений версий Dependabot](/ru/code-security/tutorials/secure-your-dependencies/optimizing-pr-creation-version-updates#grouping-updates-across-directories-in-a-monorepo).\n\n###\n\n```\n `patterns` и `exclude-patterns` (`groups`)\n```\n\nОба варианта поддерживают использование `*` в качестве подстановочной карточки для определения совпадений с именами зависимостей. Если зависимость совпадает как с шаблоном, так и с шаблоном исключения, она исключается из группы.\n\n###\n\n```\n `update-types` (`groups`)\n```\n\nПо умолчанию группа будет включать обновления для всех семантических версий (SemVer). SemVer является принятым стандартом для определения версий программных пакетов в форме `x.y.z`. Dependabot предполагает, что версии в этой форме всегда `major.minor.patch`доступны.\n\n* Используется `patch` для включения выпусков исправлений.\n* Используется `minor` для включения дополнительных выпусков.\n* Используется `major` для включения основных выпусков.\n\nПримеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#specifying-the-semantic-versioning-level-to-ignore).\n\n##\n\n```\n `ignore`\n \n \n \n```\n\nИспользуйте параметр, [`allow`](#allow--) чтобы определить точно, какие зависимости следует поддерживать для экосистемы пакетов.\nDependabot проверяет все разрешённые зависимости, а затем фильтрует любые игнорированные зависимости или версии. Таким образом, зависимость, соответствующая как разрешением, так и игнорировать, будет игнорироваться. Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#ignoring-specific-dependencies).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Все зависимости, явно определённые в манифесте, поддерживаются в актуальном состоянии с помощью обновлений версий.\n* Все зависимости, определённые в файлах блокировки с уязвимыми зависимостями, обновляются с помощью обновлений безопасности.\n\nПри `ignore` использовании Dependabot используется следующий процесс:\n\n1. Проверьте наличие всех явно **разрешенных** зависимостей.\n2. Затем отфильтруйте все **игнорируемые** зависимости или версии.\n\n Если зависимость соответствует `allow` оператору и оператору`ignore`, он игнорируется\\*\\*\\*\\*.\n\n| Параметры | Цель |\n| ----------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| `dependency-name` | Игнорируйте обновления зависимостей с именами сопоставления, при необходимости используя `*` для сопоставления ноль или более символов. |\n| `versions` | Игнорировать определенные версии или диапазоны версий. |\n| `update-types` | Игнорировать обновления на одном или нескольких уровнях семантического управления версиями. Поддерживаемые значения: `version-update:semver-patch`, `version-update:semver-minor`и `version-update:semver-major`. |\n\n###\n\n```\n `dependency-name` (`ignore`)\n```\n\nДля большинства диспетчеров пакетов необходимо определить значение, соответствующее имени зависимости, указанному в файле блокировки или манифеста. Некоторые системы имеют более сложные требования.\n\n| Диспетчер пакетов | Обязательный формат | Example |\n| ---------------------------- | ---------------------- | ------------------------------------------------------------------------------------------------------------------------------------------ |\n| Gradle и Maven | `groupId:artifactId` | `org.kohsuke:github-api` |\n| Docker для тегов изображений | Полное имя репозитория | Для тега `.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`изображения используйте `base/foo/bar/ruby`. |\n\n###\n\n```\n `versions` (`ignore`)\n```\n\nИспользуйте для пропуска определенных версий или диапазонов версий. Если вы хотите определить диапазон, используйте стандартный шаблон для диспетчера пакетов. Рассмотрим пример.\n\n* npm: использование `^1.0.0` \n* Пакет: использование `~> 2.0`\n* Docker: использование синтаксиса версии пакета\n* NuGet: использование `7.*`\n* Maven: использование `[1.4,)`\n\nПримеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#ignoring-specific-versions-or-ranges-of-versions).\n\n###\n\n```\n `update-types` (`ignore`)\n```\n\nУкажите, какие семантические версии (SemVer) следует игнорировать. SemVer является принятым стандартом для определения версий программных пакетов в форме `x.y.z`.\nDependabot предполагает, что версии в этой форме всегда `major.minor.patch`являются .\n\n* Используется `version-update:semver-patch` для включения выпусков исправлений.\n* Используется `version-update:semver-minor` для включения дополнительных выпусков.\n* Используется `version-update:semver-major` для включения основных выпусков.\n\n##\n\n```\n `insecure-external-code-execution`\n \n \n \n```\n\nПоддерживается: `bundler`, `mix` и `pip`.\n\nРазрешить Dependabot выполнять внешний код в манифесте во время обновлений. Примеры см. в разделе [\"Разрешение выполнения](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot#allowing-external-code-execution) внешнего кода\".\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Когда вы предоставляете Dependabot доступ к одному или нескольким реестрам, внешний код автоматически отключается для защиты вашего кода от скомпрометированных пакетов.\n* Обновления версий могут завершиться ошибкой без возможности выполнения кода.\n\nЕсли вы разрешаете `insecure-external-code-execution`:\n\n* Dependabot будет выполнять код в манифесте в рамках процесса обновления версии.\n* Код имеет доступ только к диспетчерам пакетов в реестрах, связанных с этим `updates`параметром. Доступ к любому из реестров, определенных в конфигурации верхнего уровня `registries` , не разрешен.\n* Это должно обеспечить успешное обновление, но также может позволить скомпрометированному пакету украсть учетные данные или получить доступ к настроенным реестрам.\n\nПоддерживаемое значение: `allow`.\n\n##\n\n```\n `labels`\n \n \n \n```\n\nУкажите собственные метки для всех запросов на вытягивание, возникающих для диспетчера пакетов. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Все запросы на вытягивание имеют `dependencies` метку.\n* Если вы определяете несколько диспетчеров пакетов, в каждый запрос на вытягивание добавляется дополнительная метка для экосистемы или языка. Например, `java` для обновлений Gradle и `submodules` для обновлений подмодулы Git.\n* Если в репозитории присутствуют метки семантической версии (SemVer), они будут применены автоматически для указания типа обновления версии (`major`, `minor`, или `patch`).\n* Dependabot Создайте эти стандартные метки автоматически, по мере необходимости, в вашем репозитории.\n\nПри `labels` определении:\n\n* Указанные метки используются вместо меток по умолчанию.\n* Метки SemVer (если они присутствуют в репозитории) по-прежнему будут применяться в дополнение к любым определенным пользовательским меткам.\n* Если какая-либо из этих меток не определена в репозитории, она пропускается.\n* Вы можете отключить все метки, включая метки по умолчанию, с помощью `labels: [ ]`.\n\nУстановка этого параметра также влияет на запросы на вытягивание обновлений системы безопасности для файлов манифеста этого диспетчера пакетов, если только вы не используете `target-branch` для проверки наличия обновлений версий в ветви, отличной от ветви по умолчанию.\n\n##\n\n```\n `milestone`\n \n \n \n```\n\nСвяжите все запросы на вытягивание, поднятые для диспетчера пакетов, с вехой. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Не используются вехи.\n\nПри `milestone` определении:\n\n* Все запросы на вытягивание диспетчера пакетов добавляются в веху.\n\nПоддерживаемое значение: числовой идентификатор вехи.\n\n> \\[!TIP]\n> Если вы посмотрите на веху, ее идентификатором является последняя часть URL-адреса страницы, после `milestone`. Например, см[. `https://github.com///milestone/3`раздел AUTOTITLE](/ru/issues/using-labels-and-milestones-to-track-work/viewing-your-milestones-progress).\n\n##\n\n```\n `multi-ecosystem-groups`\n \n \n```\n\nОпределите группы, охватывающие несколько экосистем пакетов, чтобы получить единый Dependabot пулл-запрос, обновляющий все поддерживаемые экосистемы пакетов. Такой подход помогает сократить количество получаемых Dependabot pull requests и упростить рабочий процесс обновления зависимостей.\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Создайте отдельные запросы на вытягивание для каждой экосистемы пакетов с обновлениями зависимостей.\n\nКогда `multi-ecosystem-groups` используется:\n\n* Обновления в нескольких экосистемах пакетов в одной группе объединяются в один запрос на вытягивание.\n* Группы имеют собственные расписания и могут наследовать или переопределять отдельные параметры экосистемы.\n\n### `multi-ecosystem-group`\n\nНазначьте экосистемы отдельных пакетов группе с несколькими экосистемами с помощью `multi-ecosystem-group` параметра в `updates` конфигурации.\n\n> \\[!IMPORTANT]\n> Обновления с несколькими экосистемами требуют определенных шаблонов конфигурации и имеют уникальное поведение объединения параметров. Полные инструкции по настройке, примеры конфигурации и подробные справочники по параметрам см. в разделе [Настройка обновлений с несколькими экосистемами для Dependabot](/ru/code-security/tutorials/secure-your-dependencies/configuring-multi-ecosystem-updates).\n\n```yaml copy\n# Basic `dependabot.yml` file defining a multi-ecosystem-group\nversion: 2\n\nmulti-ecosystem-groups:\n infrastructure:\n schedule:\n interval: \"weekly\"\n\nupdates:\n - package-ecosystem: \"docker\"\n directory: \"/\"\n patterns: [\"nginx\", \"redis\"]\n multi-ecosystem-group: \"infrastructure\"\n\n - package-ecosystem: \"terraform\"\n directory: \"/\"\n patterns: [\"aws\"]\n multi-ecosystem-group: \"infrastructure\"\n```\n\n##\n\n```\n `open-pull-requests-limit`\n \n \n```\n\nИзмените ограничение на максимальное количество запросов на вытягивание обновлений версий, открытых в любое время.\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Если открыты пять запросов на вытягивание с обновлениями версий, дальнейшие запросы на вытягивание не создаются до тех пор, пока некоторые из этих открытых запросов не будут объединены или закрыты.\n* Обновления системы безопасности имеют отдельный внутренний предел в десять открытых запросов на вытягивание, которые нельзя изменить.\n\nПри `open-pull-requests-limit` определении:\n\n* Dependabot открывает pull requests до определённого целочисленного значения. Можно задать большое значение, чтобы эффективно убрать лимит на открытые запросы на вытягивание.\n* Вы можете временно отключить обновления версий для менеджера пакетов, установив эту опцию на ноль, см. [Отключение Dependabot version updates](/ru/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#disabling-dependabot-version-updates).\n\n##\n\n```\n `package-ecosystem`\n \n \n```\n\n\n\n```\n **Обязательный параметр.** Определите один `package-ecosystem` элемент для каждого менеджера пакетов, который вы хотите Dependabot отслеживать для новых версий. Репозиторий также должен содержать манифест зависимостей или файл блокировки для каждого диспетчера пакетов, см [. пример `dependabot.yml` файла](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-dependabotyml-file).\n```\n\n| Диспетчер пакетов | Значение YAML | Поддерживаемые версии |\n| --------------------------------- | ------------- | :-------------------: |\n| | | |\n| Базель | `bazel` | v7, v8, v9 |\n| | | |\n| | | |\n| Булочка | `bun` | >=v1.2.5 |\n| | | |\n| Средство увязки программ в пакеты | `bundler` | |\n\n```\n v2 |\n```\n\n\\| Груз | `cargo` | версия 1 |\n\\| Composer | `composer` | версия 2 |\n\\| |\n\\| Conda | `conda` | Неприменимо |\n\\| |\n\\| Контейнеры разработки | `devcontainers` | Неприменимо |\n\\| Докер | `docker` | версия 1 |\n\\| |\n\\| Docker Compose | `docker-compose` | Версии 2, 3 |\n\\| |\n\\| |\n\\| пакет SDK .NET | `dotnet-sdk` | >=.NET Core 3.1 |\n\\| |\n\\| |\n\\| Диаграммы Helm | `helm` | версия 3 |\n\\| |\n\\| Hex | `mix` | версия 1 |\n\\| |\n\\| Julia | `julia` | >=v1.10 |\n\\| |\n\\| Пакет ELM | `elm` | Версия 0.19 |\n\\| Субмодуль Git | `gitsubmodule` | Неприменимо |\n\\| GitHub Actions | `github-actions` | Неприменимо |\n\\| Модули Go | `gomod` | версия 1 |\n\\| Gradle (Грэйдл) | `gradle` | Неприменимо |\n\\| Мейвен | `maven` | Неприменимо |\n\\| |\n\\| Никс-флейки | `nix` | Неприменимо |\n\\| |\n\\| npm | `npm` | v7, v8, v9, v10 |\n\\| NuGet | `nuget` |\n<=6.12.0 |\n\\| |\n\\| OpenTofu | `opentofu` | Неприменимо |\n\\| |\n\\| пит | `pip` | 24,2 |\n\\| pip-compile | `pip` | 7.5.3 |\n\\| pipenv | `pip` | <= 2024.4.1 |\n\\| pnpm | `npm` | т. 7, т. 8
v9, v10 (только обновления версий) |\n\\| poetry | `pip` | версия 2 |\n\\| |\n\\| До коммита | `pre-commit` | Неприменимо |\n\\| |\n\\| паб | `pub` | версия 2 |\n\\| |\n\\| Цепочка инструментов Rust | `rust-toolchain` | Неприменимо |\n\\| |\n\\| Swift | `swift` | v5 |\n\\| Terraform | `terraform` | >= 0,13, <= 1.10.x |\n\\| |\n\\| ультрафиолетовый | `uv` | v0 |\n\\| |\n\\| |\n\\| vcpkg | `vcpkg` | Неприменимо |\n\\| |\n\\| yarn | `npm` | v1, v2, v3, v4 |\n\n##\n\n```\n `pull-request-branch-name.separator`\n \n \n \n```\n\nУкажите разделитель, используемый при создании имен ветвей. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Создайте имена ветвей формы: `dependabot/PACKAGE_MANAGER/DEPENDENCY`\n\nПри `pull-request-branch-name.separator` определении:\n\n* Вместо этого используйте указанный `/`символ.\n\nПоддерживаемые значения: `\"-\"`, `_``/`\n\n> \\[!TIP]\n> Символ дефиса должен быть экранирован, поэтому он не интерпретируется как запуск пустого списка YAML.\n\n##\n\n```\n `rebase-strategy`\n \n \n \n```\n\nОтключите автоматическую перебазировку pull-запросов, вызванных Dependabot.\n\n```\n Dependabot По умолчанию перебазируется открытые pull request-запросы при Dependabot обнаружении изменений в версии или обновлении безопасности. \n Dependabot проверяет изменения когда:\n```\n\n* Расписание выполняется для проверки обновлений версий.\n* Вы снова открываете закрытый Dependabot pull request.\n* Вы меняете значение в `target-branch`Dependabot конфигурационном файле, см. [`target-branch`](#target-branch-).\n* Dependabot Pull request конфликтует после недавнего push-запроса на целевой ветке.\n\nКогда `rebase-strategy` установлено на `disabled`, Dependabot перестают перебазировать pull requests.\n\n> \\[!NOTE]\n> Запросы на вытягивание, открытые **перед** отключением повторной базы данных, будут перебазироваться до 30 дней после их открытия. Это влияет на все запросы на вытягивание, конфликты с целевой ветвью и все запросы на вытягивание обновлений версий.\n\n##\n\n```\n `registries`\n \n \n \n```\n\nНастройте доступ к частным реестрам пакетов для Dependabot обновления более широкого спектра зависимостей, см. [Настройка доступа к частным реестрам для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot) и [Руководство по настройке частных реестров для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/guidance-for-the-configuration-of-private-registries-for-dependabot).\n\nВ файле есть 2 расположения `dependabot.yml` , в которых можно использовать `registries` ключ:\n\n1. На верхнем уровне, где вы определяете частные реестры, которые вы хотите использовать, и сведения о доступе см. в разделе [Настройка доступа к частным реестрам для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot).\n2. В блоках, где можно указать, какие частные `updates` реестры следует использовать каждому диспетчеру пакетов.\n\n ```\n Dependabot По умолчанию поднимают pull requests только для обновления зависимостей, хранящихся в общедоступных реестрах.\n ```\n\nКогда Dependabot в конфигурационном файле есть верхний `registries` уровень, определяющий доступ к одному или нескольким приватным реестрам, вы можете настроить каждый `package-ecosystem` из них на использование одного или нескольких таких регистров.\n\nЕсли `registries` определяется для диспетчера пакетов:\n\n* Каждый частный реестр, указанный для диспетчера пакетов, проверяется на наличие обновлений версии и системы безопасности.\n* Dependabot использует данные доступа, определённые в верхнем разделе `registries` .\n\nПоддерживаемые значения: `REGISTRY_NAME` или `\"*\"`\n\n##\n\n```\n `schedule`\n \n \n\n **Обязательный параметр.** Определите частоту проверки новых версий для каждого диспетчера пакетов, который вы настраиваете с помощью `interval` параметра. Опционально, для ежедневных и недельных интервалов вы можете настраивать время Dependabot проверки обновлений. Примеры см. в разделе [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates).\n```\n\n| Параметры | Цель |\n| ----------------------- | ---- |\n| [`interval`](#interval) | |\n\n```\n **Обязательно**. Определяет частоту для Dependabot. |\n```\n\n\\| [`day`](#day) | Укажите день, который нужно запустить для еженедельного **интервала** . |\n\\| [`time`](#time) | Укажите время выполнения. |\n\\| |\n\\| [`cronjob`](#cronjob) | Определяет выражение cron, если тип интервала равен `cron`. |\n\\| |\n\\| [`timezone`](#timezone) | Укажите часовой `time` пояс значения. |\n\n### `interval`\n\nПоддерживаемые значения: `daily`, , `weekly`, `monthly``quarterly`, `semiannually``yearly`или`cron`\n\nКаждый диспетчер **пакетов должен** определить интервал расписания.\n\n* Используется `daily` для запуска на каждый рабочий день, понедельник до пятницы.\n* Используется `weekly` для запуска раз в неделю по умолчанию в понедельник.\n* Используется `monthly` для запуска в первый день каждого месяца.\n* Используется `quarterly` для запуска в первый день каждого квартала (январь, апрель, июль и октябрь).\n* Используется `semiannually` для запуска каждые шесть месяцев, в первый день января и июля.\n* Используется `yearly` для запуска в первый день января.\n* Используется `cron` для параметра планирования на основе выражений cron. См. раздел [`cronjob`](#cronjob).\n\n> \\[!NOTE]\n> Поддерживаемые значения `quarterly`, `semiannually`, и `yearly` доступны только на GitHub Enterprise Server версии 3.19.\n\nПо умолчанию Dependabot случайным образом назначается время для применения всех обновлений в конфигурационном файле. С помощью `time``timezone` параметров можно задать определенную среду выполнения для всех интервалов.\\\nЕсли использовать `cron` интервал, можно определить время обновления с помощью выражения `cronjob` .\n\n### `day`\n\nПоддерживаемые значения: `monday`, , `tuesday`, `wednesday``thursday`, `friday``saturday`или`sunday`\n\nПри необходимости запустите **еженедельные** обновления для диспетчера пакетов в определенный день недели.\n\n### `time`\n\nФормат: `hh:mm`\n\nПри необходимости выполните все обновления для диспетчера пакетов в определенное время суток. По умолчанию время интерпретируется как UTC.\n\n### `cronjob`\n\nПоддерживаемые значения: допустимое выражение cron в синтаксисе cron или естественном выражении.\n\nСинтаксис Cron содержит пять полей, разделенных пробелом, где каждое поле представляет единицу времени.\n\n```text\n┌───────────── minute (0 - 59)\n│ ┌───────────── hour (0 - 23)\n│ │ ┌───────────── day of the month (1 - 31)\n│ │ │ ┌───────────── month (1 - 12 or JAN-DEC)\n│ │ │ │ ┌───────────── day of the week (0 - 6 or SUN-SAT)\n│ │ │ │ │\n* * * * *\n```\n\nПримеры: , `0 9 * * *``every day at 5pm`\n\n```\n `0 9 * * *` эквивалентен \"каждый день в 9 утра\". \n `every day at 5pm` эквивалентна `0 17 * * *`.\n```\n\n> \\[!NOTE]\n>\n> * Часовые пояса должны быть указаны в параметре [`timezone`](#timezone) , а не в `cronjob`.\n> * Для `cronjob` использования интервала `cron` требуется расписание типов.\n\n```yaml copy\n\n# Basic `dependabot.yml` file for cronjob\n\nversion: 2\nupdates:\n # Enable version updates for npm\n - package-ecosystem: \"npm\"\n # Look for `package.json` and `lock` files in the `root` directory\n directory: \"/\"\n # Check the npm registry for updates based on `cronjob` value\n schedule:\n interval: \"cron\"\n cronjob: \"0 9 * * *\"\n```\n\n### `timezone`\n\nУкажите часовой пояс для `time` значения. По умолчанию часовой пояс — `UTC`.\n\nИдентификатор часового пояса должен соответствовать часовой поясу в базе данных, поддерживаемой [iana](https://www.iana.org/time-zones), см [. список часовых поясов](https://en.wikipedia.org/wiki/List_of_tz_database_time_zones) базы данных tz.\n\n##\n\n```\n `target-branch`\n \n \n```\n\nОпределите конкретную ветвь для проверки обновлений версий и целевых запросов на вытягивание обновлений версий. Примеры см. в разделе [Настройка запросов на вытягивание зависимостей для соответствия вашим процессам](/ru/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Dependabot использует стандартную ветку репозитория, см. [О ветке по умолчанию](/ru/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/about-branches#about-the-default-branch).\n\nПри `target-branch` определении:\n\n* Для обновления версий проверяются только файлы манифеста в целевой ветви.\n* Все запросы на вытягивание обновлений версий открываются для указанной ветви.\n* Параметры, определенные для этого`package-ecosystem`, больше не применяются к обновлениям системы безопасности, так как обновления безопасности всегда используют ветвь по умолчанию для репозитория.\n\n##\n\n```\n `exclude-paths`\n \n \n```\n\nИспользуйте для указания путей каталогов и файлов, которые Dependabot следует игнорировать при поиске манифестов и зависимостей. Этот параметр полезен, если требуется предотвратить обновления зависимостей в определенных расположениях, таких как тестовые ресурсы, поставщик кода или определенные файлы.\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Все каталоги и файлы в указанном параметре `directory` включаются в проверку обновления, если этот параметр не исключен.\n\nПри `exclude-paths` определении:\n\n* Все файлы и каталоги, соответствующие указанным путям, игнорируются во время проверки обновлений для указанной `package-ecosystem` записи.\n\n| Параметр | Цель |\n| --------------- | ------------------------------------------------------------------------------ |\n| `exclude-paths` | Список шаблонов глобов для файлов или каталогов, которые следует игнорировать. |\n\nПоддерживаются шаблоны glob, такие как `**` рекурсивное сопоставление и `*` подстановочные знаки с одним сегментом. Шаблоны относятся к указанному `directory` для конфигурации обновления. Каждая экосистема может иметь собственные `exclude-paths` параметры.\n\n### Example\n\n```yaml copy\nversion: 2\nupdates:\n - package-ecosystem: \"npm\"\n directory: \"/\"\n schedule:\n interval: \"daily\"\n exclude-paths:\n - \"src/test/assets\"\n - \"vendor/**\"\n - \"src/*.js\"\n - \"src/test/helper.js\"\n\n# Sample patterns that can be used-\n\n# Pattern: docs/*.json\n# Matches: docs/foo.json, docs/bar.json\n\n# Pattern: *.lock\n# Matches: Gemfile.lock, package.lock, foo.lock (in any directory)\n\n# Pattern: test/**\n# Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt\n\n# Pattern: config/settings.yml\n# Matches: config/settings.yml\n\n# Pattern: **/*.md\n# Matches: README.md, docs/guide.md, any/depth/file.md\n\n# Pattern: src/*\n# Matches: src/main.rb, src/app.js\n# Does NOT match: src/utils/helper.rb\n\n# Pattern: hidden/.*\n# Matches: hidden/.env, hidden/.secret\n```\n\nВ этом примере Dependabot я игнорирую `src/test/assets` папку, все файлы под `vendor/`, все JavaScript-файлы непосредственно под `src/`, и конкретный файл `src/test/helper.js` при поиске обновлений.\n\n##\n\n```\n `vendor`\n \n \n \n```\n\nПоддерживается только: `bundler` и `gomod` только.\n\nСкажите Dependabot сохранять зависимости, указанные поставщиками, а также зависимости, определённые файлами манифеста. Зависимость описывается как \"поставщик\" или \"кэширована\" при хранении кода в репозитории, см`bundle cache`.[](https://bundler.io/man/bundle-cache.1.html)\n\nПримеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#updating-vendored-dependencies).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Сохраняйте только зависимости, записанные в манифесте и файлах блокировки, определенных для bundler.\n* Вызов запросов на обновление безопасности и версий, которые обновляют номера версий, записанные в файлах манифеста и блокировки.\n* Для модулей Go все поставщики зависимостей автоматически идентифицируются и поддерживаются так, как если бы `vendor` он был включен.\n\nЕсли `vendor` включена:\n\n* Dependabot также поддерживает зависимости для Bundler, которые хранятся в `_vendor/cache_` каталоге репозитория.\n* Запросы на вытягивание иногда содержат обновления зависимостей, хранящихся в репозитории.\n\nПоддерживаемые значения: `true` или `false`\n\n##\n\n```\n `versioning-strategy`\n \n \n \n```\n\nПоддерживается: `bundler`, `cargo`, `composer`, `mix`, `npm``pip``pub`и`uv`\n\nОпределите, как Dependabot следует редактировать файлы манифеста. Примеры см. в разделе [Управление обновлениями зависимостей с помощью Dependabot](/ru/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-a-versioning-strategy).\n\n```\n Dependabot Поведение по умолчанию:\n```\n\n* Попробуйте различать зависимости приложений и библиотек.\n* Для приложений всегда увеличьте минимальное требование к версии, чтобы соответствовать новой версии. Стратегия `increase` .\n* Для библиотек расширяйте требования к разрешенной версии, чтобы включить как новые, так и старые версии, когда это возможно. Стратегия `widen` .\n\nКогда `versioning-strategy` определено, Dependabot используется заданная стратегия.\n\n| Ценность | Поведение |\n| ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| `auto` | Поведение по умолчанию. |\n| `increase` | Всегда увеличьте минимальное требование к версии, чтобы соответствовать новой версии. Если диапазон уже существует, обычно это только увеличивает нижнюю границу. |\n| `increase-if-necessary` | Оставьте требование версии без изменений, если она уже разрешает новый выпуск (Dependabot по-прежнему обновляет разрешенную версию). В противном случае расширение требования. |\n| `lockfile-only` | Создавать запросы на вытягивание только для обновления файлов блокировки. Пропускать все новые версий, для которых требуются изменения манифеста пакета. |\n| `widen` | Расширяйте допустимые требования к версии для включения новых и старых версий, когда это возможно. Как правило, это увеличивает только максимально допустимое требование версии. |\n\nНапример, если текущая версия и `1.0.0` текущее ограничение является `^1.0.0` различными стратегиями, будет вызывать следующие обновления:\n\nНовая версия `1.2.0`\n\n* `increase`: новое ограничение `^1.2.0`\n* `increase-if-necessary`: новое ограничение `^1.0.0`\n* `widen`: новое ограничение `^1.0.0`\n\nНовая версия `2.0.0`\n\n* `increase`: новое ограничение `^2.0.0`\n* `increase-if-necessary`: новое ограничение `^2.0.0`\n* `widen`: новое ограничение `>=1.0.0 <3.0.0`\n\n> \\[!NOTE]\n> Если менеджер пакетов, который вы используете, пока не поддерживает настройку параметра `versioning-strategy` или не поддерживает нужное значение, то код стратегии open source, поэтому если вы хотите, чтобы конкретная экосистема поддерживала новую стратегию, вы всегда можете отправить pull request в .\n\n### Теги управления версиями\n\n\n\n* Представляет этапы жизненного цикла выпуска программного обеспечения, такие как альфа, бета-версия и стабильные версии.\n* Позволяет издателям более эффективно распространять свои пакеты.\n* Укажите стабильность версии и сообщите, какие пользователи должны ожидать с точки зрения функций и стабильности.\n\nDependabot распознает различные теги управления версиями для предварительных выпусков, стабильных версий и пользовательских тегов в разных экосистемах.\n\nФайл `dependabot.yml` не управляет тегами управления версиями, которые можно использовать, но можно определить в параметрах конфигурации, таких как [`ignore`](/ru/code-security/dependabot/working-with-dependabot/dependabot-options-reference#ignore--) поддерживаемые теги управления версиями, для которого требуется игнорировать обновления.\n\n#### Поддерживаемые теги управления версиями\n\n\\| **Диспетчер пакетов** |\n**Значение YAML** |\n**Поддерживаемые теги** |\n**Примеры** |\n\\|---------------------|----------------|--------------------|--------------|\n\\| Maven | `maven` | `alpha, a, beta, b, milestone, m, rc, cr, sp, ga, final, release, snapshot` |\n`spring-security-web@5.6.0-SNAPSHOT`, `spring-core@5.2.0.RELEASE` |\n\\| npm | `npm` |\n`alpha`, `beta`, `canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable` |\n`lodash@beta`, , `react@latest``express@next` |\n\\| pnpm | `npm` |\n`alpha`, `beta`, `canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable` |\n`lodash@1.2.0-alpha`, , `react@alpha``vue@next` |\n\\| yarn | `npm` |\n`alpha`, `beta`, `canary``dev``experimental``latest``legacy``next``nightly``rc``release``stable` |\n`lodash@1.2.0-alpha`, , `axios@latest``moment@nightly` |\n\n#### Глоссарий тегов управления версиями\n\n***\n\n```\n `alpha`:** ранняя версия может быть нестабильной и иметь неполные функции.\n```\n\n***\n\n```\n `beta`:** более стабильным, чем альфа- но может по-прежнему иметь ошибки.\n```\n\n***\n\n```\n `canary`:** регулярно обновляется предварительная версия для тестирования.\n```\n\n***\n\n```\n `dev`:** представляет версии разработки.\n```\n\n***\n\n```\n `experimental`:** версии с экспериментальными функциями.\n```\n\n***\n\n```\n `latest`:** последний стабильный выпуск.\n```\n\n***\n\n```\n `legacy`:** старые или устаревшие версии.\n```\n\n***\n\n```\n `next`:** предстоящая версия выпуска.\n```\n\n***\n\n```\n `nightly`:** версии, созданные ночью; часто включают последние изменения.\n```\n\n***\n\n```\n `rc`:** кандидат выпуска, близкий к стабильному выпуску.\n```\n\n***\n\n```\n `release`:** официальная версия выпуска.\n```\n\n***\n\n```\n `stable`:** самая надежная, готовая к работе версия.\n```\n\n\n\n## Ключ верхнего уровня `registries`\n\nУкажите данные аутентификации, которые Dependabot можно использовать для доступа к частным реестрам пакетов, включая регистры, размещённые на GitLab или Bitbucket.\n\nЗначение ключа `registries` является ассоциативным массивом, каждый элемент которого состоит из ключа, определяющего конкретный реестр, и значения, являющегося ассоциативным массивом, которое указывает параметры, необходимые для доступа к реестру.\n`dependabot.yml` Следующий файл настраивает реестр, определенный как `dockerhub` в `registries` разделе файла, а затем ссылается на этот файл в `updates` разделе файла.\n\n```yaml copy\n# Minimal settings to update dependencies stored in one private registry\n\nversion: 2\nregistries:\n dockerhub: # Define access for a private registry\n type: docker-registry\n url: registry.hub.docker.com\n username: octocat\n password: ${{secrets.DOCKERHUB_PASSWORD}}\nupdates:\n - package-ecosystem: \"docker\"\n directory: \"/docker-registry/dockerhub\"\n registries:\n - dockerhub # Allow version updates for dependencies in this registry\n schedule:\n interval: \"monthly\"\n```\n\nДля указания параметров доступа используются следующие параметры. Параметры реестра должны содержать `type` и `url`, а также, как правило, либо сочетание `username` и `password`, либо `token`.\n\n| Параметры | Характер использования |\n| :---------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |\n| `REGISTRY_NAME` | \\*\\*\\*\\* Обязательный: определяет идентификатор реестра. |\n| `type` | \\*\\*\\*\\* Обязательный: определяет тип реестра. |\n| Подробные сведения о проверке подлинности | \\*\\*\\*\\* Обязательный: параметры, поддерживаемые для предоставления сведений о проверке подлинности, зависят от реестров разных типов. |\n| `url` | \\*\\*\\*\\* Обязательный: URL-адрес, используемый для доступа к зависимостям в этом реестре. Протокол указывать необязательно. Если этот параметр не задан, для него предполагается значение `https://`. Dependabot добавляет или пропускает конечные косые черты по мере необходимости. |\n| `replaces-base` | Если логическое значение равно `true`, Dependabot разрешает зависимости, используя указанный `url` , а не базовый URL-адрес этой экосистемы. |\n\nПодробные сведения о доступных вариантах, а также рекомендации и советы по настройке частных реестров см. в разделе [Руководство по настройке частных реестров для Dependabot](/ru/code-security/dependabot/working-with-dependabot/guidance-for-the-configuration-of-private-registries-for-dependabot).\n\n###\n\n```\n `type` и сведения о проверке подлинности\n```\n\nПараметры, используемые для предоставления сведений о проверке подлинности для доступа к частному реестру, зависят от реестра `type`.\n\n| Регистратура `type` | Обязательные параметры проверки подлинности |\n| --------------------- | ------------------------------------------- |\n| `cargo-registry` | `token` |\n| `composer-repository` | |\n\n```\n `username` и `password`.
или OIDC с `tenant-id` и `client-id` |\n```\n\n\\| `docker-registry` |\n`username` и `password`.
или OIDC с `tenant-id` и `client-id` |\n\\| `git` |\n`username` и `password`.
или OIDC с `tenant-id` и `client-id` |\n\\| `hex-organization` |\n`organization` и `key`. |\n\\| `hex-repository` |\n`repo` и `auth-key` при необходимости с соответствующими `public-key-fingerprint` |\n\\| `maven-repository` |\n`username` и `password`.
или OIDC с `tenant-id` и `client-id` |\n\\| `npm-registry` |\n`username` и `password`.
или `token`
или OIDC с `tenant-id` и `client-id` |\n\\| `nuget-feed` |\n`username` и `password`.
или `token`
или OIDC с `tenant-id` и `client-id` |\n\\| `pub-registry` | `token` |\n\\| `python-index` |\n`username` и `password`.
или `token`
или OIDC с `tenant-id` и `client-id` |\n\\| `rubygems-server` |\n`username` и `password`.
или `token`
или OIDC с `tenant-id` и `client-id` |\n\\| `terraform-registry` | `token` |\n\nВсе конфиденциальные данные, используемые для проверки подлинности, должны храниться безопасно и ссылаться на нее из этого безопасного расположения, см. в разделе [Настройка доступа к частным реестрам для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot).\n\n> \\[!TIP]\n> Если учетная запись является учетной записью GitHub, вместо пароля можно использовать GitHub personal access token вместо пароля.\n\nДля получения дополнительной информации о поддержке OIDC см Dependabot. [OpenID Connect](/ru/actions/concepts/security/openid-connect#oidc-support-for-dependabot) и [Настройка доступа к частным реестрам для Dependabot](/ru/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot#using-oidc-for-authentication).\n\n###\n\n```\n `url` и `replaces-base`.\n```\n\nПараметр `url` определяет, где получить доступ к реестру. Когда опциональный `replaces-base` параметр включён (`true`), Dependabot разрешает зависимости, используя значение `url` , а не базовый URL конкретной экосистемы."}